Win32/Agent.VP Crittografato

[softwarecrazyman]

Salve a tutti!
e la prima volta che scrivo qui anche se è da tantissimo che vi leggo (circa un anno o forse di piu?)questo perchè leggendo bene e attentemente sono
sempre fino ad oggi riuscito a risollvere i miei problemi...beh quasi.....
cmq oggi vi presento l'ultimo ritrovato in fatto di trojan che personalmente
non ho mai incontrato cioe con crittografie e protezione lettura ecc...
tutto incomincia oggi alle ore verso le 6.25 circa (non chiedetemi che facevo per favore)quando navigando di qua e di là mi si pianta tutto (ma chi me lo ha fatto fare!)nel senso che l'hard disk comincia a girare e va tutto lentissimo fino a quando mi compaiono
due belle finestre rosse del nod32 che mi dice che ha trovato due bei intrusi:
la prima finestra dice
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 6.26.05 AMON file C:\WINDOWS\TEMP\rcsj1.exe NewHeur_PE virus probabilmente sconosciuto Evento occorso su un nuovo file creato da un'applicazione: C:\Documents and Settings\######\Documenti\11d1265b.exe.
(##### per privacy)
la seconda dice:
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 6.31.00 AMON file C:\Programmi\File comuni\System\BwE.exe Win32/Agent.VP cavallo di troia NT AUTHORITY\SYSTEM Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\system32\services.exe.
dopo queste finestre capisco che sono nei quai e blocco tutti i programmi in esecuzione faccio l'aggiornamento del nod32 e dopo resetto.
Faccio qualche ricerca,il primo exe sembra scomparso (11d1265b.exe) Hurra dico io dato che so(perche e gia successo) che certi file il povero nod non riesce a cancellare quando arrivo a lui il mitico BwE.exe quello c'e ancora ed e per questo file tutto il casino.
beh ho un trojan cancelliamolo.......questo non va questo nemmeno proviamo questo ....niente facciamo qualche ricerca....beh non ho trovato molto a parte un sito spagnolo che descrive il troyan cmq e qui http://www.vsantivirus.com/agent-vp.htm il bello che dice la dimensione:
Tamaño: 9,728 bytes
ma il mio e molto piu grosso dimensioni:64,5 KB (66.048 byte) su disco:68,0 KB (69.632 byte)cavolo dico io ma che roba sara? cmq parto alla ricerca ma non trovo niente di particolare dopo un po mi stufo e cerco di cancellarlo.....
ma per quanto mi sforzi con un bel po di programmi provati
unlocker, copylock,e altri 2 che ho cancellato perche altrettanto inefficaci,non riesco a eliminarlo beh quardiamo che c'e dentro accesso negato,cmq posso spostarlo
incredibile ma non posso cancellarlo!unlocker mi dice che nessun handle e stato trovato ma allora dico io che cosa mai potra essere se sono amministratore che non mi faccia cancellare sto file.
scopro per caso che il file file e crittografato in fatti e tutto verde il nome nell'explorer intendo(dicevo io ma perche a quel colore verde? conoscevo il blu ma il verde no)cmq ogni volta che gli accedo da destro/propietà il nod mi segnala li sospetto l'ultimo ad es
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 17.56.31 AMON file C:\Programmi\File comuni\System\BwE.exe Win32/Agent.VP cavallo di troia NT AUTHORITY\SYSTEM Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\system32\services.exe.
ma è identico cambia solo l'ora cmq il problema e il sequente non si riesce a cancellare, perfavore illuminatemi !!! la cosa bella e che il certificato scade fra 100 anni!
http://img129.imageshack.us/img129/9392/snap1qt2.jpg
questo uxw....... naturalmente non esiste nessun utente con quel nome e cmq non posso agiungere o rimuovere niente, spuntare caselle, sia dalle propieta del file che dalle propieta della crittografia. non so piu che fare ho esaurito le idee nel frattempo l'ho spostato in questa cartella C:\cartellavirus\BwE.exe
idee non ne ho per il momento l'unico pallino è formattare ma per un misero file
da 65kb non ne vale la pena(per ora se non riesco a risolvere entro tempi brevi) beh non voglio o posso aspettare 100 anni! ah la chiave publica e RSA (1024 bits) tanti!

Informazioni sul sistema NOD32 installato
Versione: 1.1675 (20060723)
Data: domenica 23 luglio 2006
Build database antivirus: 7714

Informazioni su altri supporti dello scanner
Versione modulo euristica estesa: 1.032 (20060707)
Build modulo euristica estesa: 1116
Versione filtro Internet: 1.002 (20040708)
Build filtro Internet: 1013
Versione modulo supporto archivi: 1.048 (20060714)
Build modulo supporto archivi: 1173

Informazioni sui componenti installati
NOD32 per Windows NT/2000/XP/2003 - base
Versione: 2.50.32
NOD32 per Windows NT/2000/XP/2003 - supporto Internet
Versione: 2.50.32
NOD32 per Windows NT/2000/XP/2003 - componente standard
Versione: 2.50.32

Informazioni sistema operativo
Piattaforma: Windows XP
Versione: 5.1.2600 Service Pack 2
Versione dei controlli comuni: 5.82.2900
RAM: 512 MB
Processore: AMD Athlon(TM) XP 2500+ (1822 MHz)

beh dovete scusarmi se mi sono dilungato troppo ma mi piace scrivere ogni tanto, anche se con errori accenti punteggiatura che mancano...
mi scuso se anticipatemente se ho violato qualche parte del regolamento e provvedero quando segnalato.
spero solo di non aver fatto una segnalazione eccessiva, ah e se cerco di utilizzare online scanner tipo virusscan jotti's mi dice che il file e impossibbile da leggere ma non penso per un problema firewall,fino ad ora non mi a dato nessun fastidio solo che so che ho un trojan e non mi piace per niente l'idea
anche se dovrebbe essere bloccato dal nod32.il traffico rete sembra normale.
mah! speriamo di risolvere!

[matteo1]

1)svuota i temp con questo:
http://www.ccleaner.com/download/
2)disattiva ripristino configurazione di sistema
http://service1.symantec.com/SUPPORT...20823151930924
prova questi:
http://www.prevx.com/infected.asp
http://www.ewido.net/en/download/
in modalità provvisoria
http://service1.symantec.com/SUPPORT...20722090503924

[eraser]

crittografato?

utilizza questa guida

http://www.suspectfile.com/forum/viewtopic.php?t=156

[softwarecrazyman]

Intanto un doveroso grazie per la velocita dell'intervento e un altro grazie perche la cura ha funzionato! ci sono riuscito!!
procediamo con ordine:
1)svuota i temp con questo:
http://www.ccleaner.com/download/ FATTO (davvero un bel programma me lo terro stretto!)
2)disattiva ripristino configurazione di sistema
http://service1.symantec.com/SUPPORT...20823151930924
gia hai tempi del windows me scopri che non serviva a niente e quindi e la prima cosa che disabilito quando metto mano in un pc
(cmq ho RIcontrollato ed e disattivato menomale!)
prova questi:
http://www.prevx.com/infected.asp ecco il risultato:

beh niente male mah l'ho cancellato subito dopo
http://www.ewido.net/en/download/ e questo

cancellato subito dopo

in modalità provvisoria
http://service1.symantec.com/SUPPORT...20722090503924
questo l'avevo gia provato senza risultati....il perche lo "scoprirete" dopo...

Quote:

crittografato?

utilizza questa guida

http://www.suspectfile.com/forum/viewtopic.php?t=156

leggendo questo mi si sono aperti gli occhi! beh gia ieri facendo ricerche trovai questo
http://www.viritpro.info/articoli/rootkit_d-e.htm pero non riuscivo a capire dov'e che sbagliavo fino a quando mi sono letto attentamente l'articolo di suspect file.
il succo e questo.come ho fatto semplicissimo riporto qui la parte importante:

Quote:

Se non si riesce ancora a cancellare è perchè non si hanno i privilegi su quel file.
Su XP Professional Edition basta cliccarci con il tasto destro e scegliere proprietà. Compare una finestra(Protezione) dalla quale è possibile impostare per il proprio utente la proprietà del file ed il suo controllo completo.
Se tale opzione non è disponibile, bisogna andare in opzioni cartella e togliere la spunta dall'opzione Utilizza Condivisione file semplice
e confermate con Applica>Ok

avete capito DOVETE LEVARLA
non come ho fatto io che c'e lo messa o c'e l'ho lasciata!? e dicevo ma che cavolo non funziona!
poi ancora non è finita:

Quote:

Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

e funziona ve lo garantisco!
se avete l'home c'e questa parte :

Quote:

Su XP Home Edition invece è possibile accedere al tag "Protezione" avviando il pc in modalità provvisoria e loggandosi con il propio account o quello di "Administrator",selezionare il file,cliccare sul tag "Protezione" e spuntare la casella "Controllo completo",oppure si possono usare dei tools appositi che si trovano nel Resource Kit come ntrights.exe, cacls.exe e takeown.exe. E' possibile altrimenti rimuoverlo con tool particolari, come Darkspy.

in effetti puo sembrare finito e invece no perche ho scoperto ancora su un post di un utente di questo forum questo:

Intanto ieri notte ho provato ad andare in
risorse del computer->proprietà->avanzate->profili utente->impostazioni
e ho scoperto che non solo c'era il profilo "Marco" (il mio, amministratore) e "vkunzpq" (quello che si crea da solo) ma inoltre ho trovato anche "amministratore", anche lui comparso dal nulla (ma se devo essere sincero il primo giorno che ho notato vkunzpq c'era anche lui, evidentemente distratto non l'ho notato).
Ho provato ad eliminarli con l'apposito tasto, sia uno che l'altro, lasciando solo il mio.
Al riavvio del sistema le cartelle rispettive, in c:\documents and settings\, non sono state ricreate, quindi è già un passo avanti.
Evidentemente il file dircc.exe non è più in funzione...

ringrazio questo utente che non ricordo piu come si chiama perche ho salvato solo questo pezzo.
percio troverete lo stesso nome dell'utente del certificato nel mio caso sto
UXWshRKJhZoUihO

altro che cento anni!
quindi provvedete a ripulire tutti le voci con il nome generato del "vostro" certificato centenario........
pannello di controllo>account utente
pannello di controllo>sistema>avanzate>profili utente>impostazione
poi per sicurezza fatevi un giretto su
strumenti di amministrazione>criteri di protezione locali
e "spulciate le varie voci e controllate la presenza di "stranezze varie"
beh la cura e finita un ultimo ringraziamento a tutti quelli che "hanno collaborato" alla riuscita dell''impresa spero solo di essere stato il piu chiaro possibbile e ho cercato di documentare al meglio (non e che scrivo molto sui forum,fra lo scrivere e il leggere solo c'e un po di differenza specialmete a utilizzare tutti i tag correttemente)
se qualcuno vuole farci una sticky o una guida basta che corregga le imperfezioni.
un ultimo appunto dalle ricerche che ho fatto questo non è un caso sporadico
o raro ma il fenomeno sembra(o lo è in effetti) in continua crescita e quindi la prolificazione di questi agent crittografati e solo questione di tempo e usano anche una bella vulnerabilità (che spero abbiano gia fixato i programmatori microsoft)che ti crea non pochi casini, anche se nel mio caso sono stato fortunato ma ho letto persone con varianti agent molto piu agressive e incasinate.
spero di essere stato utile
Saluti! (e beviamoci sopra!)