*** Removal Tool LinkOptimizer / Gromozon ***

[Giacomo 20]

Riscusatemi, ho eseguito il Removal Tool LinkOptimizer Gromozon e mi ha detto che non ha trovato nulla e che il sistema è pulito. Grazie e scusate ancora.

[as10640]

Ciao a tutti!!!

Qualcuno sa come rimuovere il servizio che il virus crea? Ho provato ad eliminare la chiave dal registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecKvc
Ma mi dice errore durante l'eliminazione....

[bReAkDoWn]

Quote:

Originariamente inviato da as10640

Ciao a tutti!!!

Qualcuno sa come rimuovere il servizio che il virus crea? Ho provato ad eliminare la chiave dal registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecKvc
Ma mi dice errore durante l'eliminazione....

Da prompt dei comandi esegui sc delete nomeservizio

[FiorDiLatte]

Quote:

Originariamente inviato da eraser

Non proprio, chi compila non è l'autore del programma. Come ti dicevo, siamo in quattro ad avere i sorgenti Non c'è un unico autore. Il lavoro di gruppo fornisce molto piu rispetto al lavoro singolo

No no ma il tuo suggerimento è corretto, so che non era una critica

Discuteremo tutto al piu presto!

Ciao

Marco

Ciao e grazie per l'ottimo tool.

Una domanda:

ma come avete fatto a togliere il rootkit dalla modalita' normale di windows (non provvisoria), quando nessun altro antivirus e antispyware vi riesce, neppure partendo da un cd-live di linux?

byezzz

[lucas84]

Al tool si potrebbe aggiungere il backup dei files eliminati,magari zippati con una pass. che sapete solo voi,alla fine il tool prende questo archivio e ve lo invia,altrimenti lo fa l'utente,in questo modo,potete migliorare il tool avendo molti files a disposizione

[jacomo]

SI MI HA ELIMINATO DELLA ROBA MA MI E' RIMASTO ANCORA UN FILE STRANO IN "C:\Programmi\File comuni\Microsoft Shared\VFSY.exe" SAPRESTE DIRMI COSA SIA?

[bReAkDoWn]

Quote:

Originariamente inviato da jacomo

SI MI HA ELIMINATO DELLA ROBA MA MI E' RIMASTO ANCORA UN FILE STRANO IN "C:\Programmi\File comuni\Microsoft Shared\VFSY.exe" SAPRESTE DIRMI COSA SIA?

E' un file eseguibile, probabilmente verde perchè criptato, utilizzato come servizio.. prova a cancellarlo a mano, se non si cancella, puoi controllare in services.msc se è presente il servizio corrispondente a quel file. Se c'è cancellalo da prompr dei comandi con sc delete nomeservizio. Una volta cancellato riavvia e a quel punto il file sarà cancellabile.

[BilloKenobi]

comunque questo tool toglie tutto il gusto... insomma, finalmente si lavorava con qualche programma diverso da hijackthis, più complesso.....

[juninho85]

Quote:

Originariamente inviato da BilloKenobi

comunque questo tool toglie tutto il gusto... insomma, finalmente si lavorava con qualche programma diverso da hijackthis, più complesso.....

beh....è un tool dedicato

[rootmail]

Ciao a tutti ho 2 problemi:

1) Ho usato il tool, mi ha rimosso i virus ma mi ha cancellato parte dei menu nella voce avvio tipo accessori ecc. che ho dovuto ripristanare a mano e parte di office che ho dovuto reinstallare e riattivare.

2) Mi è rimasto in c:un file sospetto _cleaned.tmp

Ho lanciato comunque gmer ma non ci sono file + sospetti nel dicsco.

Che devo fare secondo voi.

Grazie anticipatamente.
Pietro

[chandra]

Quote:

Originariamente inviato da bReAkDoWn

Da prompt dei comandi esegui sc delete nomeservizio

Ciao a tutti
Questo è il mio primo post ma, a parte le presentazioni ci tenevo a
ringraziarvi.
Son due settimane che sto combattendo contro questo maledetto trojan
e manualmente credevo di aver ripulito tutto, persisteva solo un servizio
creato dal maledetto UpdDlf sotto un utente fittizio.
Ho fatto girare il tool e in realtà ha trovato ancora altro da ripulire.
La situazione ora è ...
Disabling rootkit file: C:\:zapotew.bmp
Resetting file permissions...
Clearing attributes...
Impossibile trovare il file - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!

Mi era rimasto ancora il servizio attivo a cui non avevo accesso, e non riuscivo a chiudere, ma con questa risposta spero di aver finalmente finito.

Una sola domanda, avendo dato l'sc delete, c'è la possibilità che il servizio al restart riappaia (e nel caso che fare per rendere la cancellazione definitiva) oppure sto bene così?

Ciao e grazie

[bReAkDoWn]

Quote:

Originariamente inviato da chandra

Una sola domanda, avendo dato l'sc delete, c'è la possibilità che il servizio al restart riappaia (e nel caso che fare per rendere la cancellazione definitiva) oppure sto bene così?

Ciao e grazie

Una volta eliminato non si ricrea e non riparte a meno di non riprendere l'infezione ex novo da qualche sito.

[guidin]

ciao, avevo postato su windows e directx per comportamenti strani del pc. Si trattava del trojan link optimizer, su questa sezione ho trovato il tool di removal, l'ho lanciato ma mi dice che nn sono infetto.. però..



che è sintomo di infezione..anche ewido mi dice che sono pulito..che fare?

avevo già eliminato gli utenti dai nomi impronunciabili da windows, mi rimangono i tre file nel pc. Ho fatto, come scritto pochi post sopra, di deletare i servizi tramite il comando "sc delete nomeservizio" ma i file incriminati ancora non si lasciano cancellare. Proverò in modalità provvisoria..

[Sinclair63]

La mia cpu ringrazia, il processo smc.exe mi occupava in oscillazione dal 10 al 50%, l'explorer si mangiava a dismisura la memoria per non parlare degli svchost ....ottimo davvero!!!

[chandra]

Quote:

Originariamente inviato da guidin

ciao, avevo postato su windows e directx per comportamenti strani del pc. Si trattava del trojan link optimizer, su questa sezione ho trovato il tool di removal, l'ho lanciato ma mi dice che nn sono infetto.. però..



che è sintomo di infezione..anche ewido mi dice che sono pulito..che fare?

avevo già eliminato gli utenti dai nomi impronunciabili da windows, mi rimangono i tre file nel pc. Ho fatto, come scritto pochi post sopra, di deletare i servizi tramite il comando "sc delete nomeservizio" ma i file incriminati ancora non si lasciano cancellare. Proverò in modalità provvisoria..

Se sono files di colore verde e la dll e l'exe del trojan io li ho rimossi manualmente con avenger

[gianninicp]

Quote:

Originariamente inviato da bReAkDoWn

Quello me lo sono letto subito, e già che siamo in tema, ti faccio i complimenti per il lavoro di ricerca svolto. Anzi, proprio adesso l'ho riscaricato e ho visto gli aggiornamenti che hai inserito alla fine, in particolare quello sulla "red pill". Ecco: quelli sono gli aspetti tecnici di cui mi piacerebbe discutere, cose di quel tipo.. Ad esempio posso aggiungere che la versione che ho per le mani sfrutta un vecchio trucco anti softice, che controlla la presenza di filemon e regmon, che utilizza un sacco di file stile scatole cinesi che ti fanno perdere un sacco di tempo e che si cancellano una volta eseguito il loro lavoro, che questi file utilizzano più di un metodo per compilare le loro IAT, code injection, e altri trucchi interessanti, anche se fino ad ora di rootkit nemmeno l'ombra..
E' su questo terreno che vorrei discutere un pò..

Scusate il ritardo con cui quoto, e scusate la scarsa dimestichezza con il forum. Consentitemi brevissimi saluti, ma sono molto stanco. Non dormo da settimane (sono scarso!) e questo lo invio non perchè sono gia alzato, ma perche non mi coricherò e sto andando a lavoro.

Sono alle prese appunto con l'impossibilità di lanciare regmon.
Avevo già usato il tool e cancellato l'utente ed il servizio random, oltre al com5.exe, com6.bvu, xlixg1.dll.
cosa fare adesso?

Ho usato anche http://www.sophos.com/products/free-...i-rootkit.html mi restituisce (accedendo ai processi)
a) Failed to set privileg SeDebugPrivilege. You may not have sufficient access rights.
Non tuti i privilegi menzionati sono assegnati al chiamante.
b) Could not initialize Toolhelp.Pleas restart and try again.
Accesso negato.

Apparentemente non ho altri segni, ma SENTO che non sono ancora libero (al contrario di quello che dice Armadalog

Un saluto e ringraziamento a chi spenderà un po' di tempo per aiutarmi (ed anche agli altri!!!)
Clemente

[bReAkDoWn]

Quote:

Originariamente inviato da gianninicp

Scusate il ritardo con cui quoto, e scusate la scarsa dimestichezza con il forum. Consentitemi brevissimi saluti, ma sono molto stanco. Non dormo da settimane (sono scarso!) e questo lo invio non perchè sono gia alzato, ma perche non mi coricherò e sto andando a lavoro.

Sono alle prese appunto con l'impossibilità di lanciare regmon.
Avevo già usato il tool e cancellato l'utente ed il servizio random, oltre al com5.exe, com6.bvu, xlixg1.dll.
cosa fare adesso?

Ho usato anche http://www.sophos.com/products/free-...i-rootkit.html mi restituisce (accedendo ai processi)
a) Failed to set privileg SeDebugPrivilege. You may not have sufficient access rights.
Non tuti i privilegi menzionati sono assegnati al chiamante.
b) Could not initialize Toolhelp.Pleas restart and try again.
Accesso negato.

Apparentemente non ho altri segni, ma SENTO che non sono ancora libero (al contrario di quello che dice Armadalog

Un saluto e ringraziamento a chi spenderà un po' di tempo per aiutarmi (ed anche agli altri!!!)
Clemente

Visto che mi hai quotato, mi sento chiamato in causa.. Allora, prima di tutto controlla i servizi (services.msc) e vedi se ci sono nomi casuali con altri nomi casuali nel campo connessione. Se li trovi prendi nota dei file a cui puntano, che si troveranno in una sottocartella dei file comuni, e cancellali normalmente se possibile, oppure con il tool di NOD32 per la rimozione di Agent. Poi elimina i servizi con il comando sc delete nomeservizio.
Per controllare ulteriormente, fai una passata con rootkitrevealer o gmer e posta i log qua, o forse è meglio sul thread su linkoptimizer dove ce ne sono già molti, anche se mi pare di capire che i file del rootkit li hai già cancellati tu, quindi in qualche modo li hai individuati.
Per quanto riguarda il debug privilege, esegui secpol.msc, e dentro regole locali (o qualcosa del genere ), assegnazione diritti utenti, cerca la voce che riguarda il debug e aggiungici il nome dell'utente che utilizzi o comunque degli utenti o gruppi a cui vuoi riassegnare quel privilegio.
Infine, se risulterà che il tool della Prevx non ti ha trovato qualcosa, comunicalo qua e magari tieni da parte i file, in questo modo quel tool potrà essere ulteriormente perfezionato. I dettagli casomai te li fornirà Eraser.

Saluti!

[gianninicp]

Mi sposto su aiuto sono infetto, cosa faccio.
Mi ero permesso di inserirmi in questo thread perchè stanco e dopo lungo navigare e MOLTI aiuti ricevuti e l'illusione con i miei salvatori di essermi salvato, con tool che non rivelano più nulla, ma la presenza di STRANEZZE, mi è rimasta la sensazione che qualcosa non va ed ho continuato a cercare imbattendomi (purtroppo tardivamente) in questo forum (durante le ricerche iniziali lo avevo scartato per il nome HARDWARE) che, mi pare, ospiti fra i maggiori esperti di GROMOZON tool.
In più una delle stranezze (che avevo ottimisticamente attribuito a DANNI residui e non ad comportamenti attivi di malware TUTTORA a bordo) era il blocco a regmon che ho visto citato.
Mi sono, quindi tuffato, sì per avere aiuto, ma, anche, per passare nuovi dettagli e, quindi, essere d'aiuto a chi certamente ne sa più di me, ma, senza indizi dal campo, potrebbe avere difficoltà a progredire.
Posterò i log altrove, anche se penso non serva a granchè (penso che i vari RootkitRevealer Gmer, a meno di nuove releases che ignoro siano OUT e ci voglia qualcosa di nuovo)
Se posso , un'ultima cosa:
Poichè aveger non riusciva a creare la chiave dummy (H_KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ), l'ho creata a mano riuscendoci (cancellabile, modificabile etc.). Al riavvio, però, era sostituita dalla stringa RootKit_File, a sua volta cancellabile e modificabile (replicato più volte)

Un saluto...
e io speriamo che me la cavo

PS: anche se in modo "Criptico" avevo dichiarato di aver usato il tool della Prevx con log "pulito" e non so che file postare qui.
Ancora ciao

[bReAkDoWn]

@giannicp

Visti i log possiamo fare le prime considerazioni, prima non so cosa dirti.. magari postali nel thread di linkoptimizer, visto che i sintomi sembrano quelli.

[joker76]

intanto, OTTIMO LAVORO!!! ho pulito un PC in pochi secondi mentre a mano la settimana scorsa ci ho messo una giornata di lavoro...

ho già cercato all'interno della discussione e non mi sembra di aver trovato nulla a riguardo:
volevo sapere se il tool rimuove anche i file strani creati dal worm (tipo lpt*.*, com*.* ecc.) in caso di FAT32, o i file dagli ADS nel caso di NTFS...
perché su un PC che ho ripulito son partito con il CD di boot di kaspersky (creato con bartPE) e sono riuscito a cancellare il file mediante la sintassi

Codice:

del \\.\c:\percorso\file.ext

mentre su un altro la stessa operazione mi da "accesso negato" come risultato...

grassie mille
ciao ciao