Linkoptimizer quasi eliminato

**robert965** · 23-08-2006, 10:12

Salve a tutti, il 27 luglio mi sono infettato con linkoptimizer, adesso dopo le ferie ho ripulito quasi tutto, spero, ma non tutto infatti varie scansioni mi dicono che il pc è pulito, però se scansiono con RootkitRevealer o gmer, si vede ancora.
Ecco le scansioni appena effettuate

RootkitRevealer:

HKLM\S-1-5-21-507921405-1606980848-682003330-1003\RemoteAccess\InternetProfile 05/07/2004 15.24 19 bytes Data mismatch between Windows API and raw hive data.
S-1-5-21-507921405-1606980848-682003330-1003 01/01/1601 2.00 0 bytes Error dumping hive: Internal error.
HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version 11/05/2005 16.28 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 27/07/2006 18.35 32 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version 11/05/2005 16.28 0 bytes Key name contains embedded nulls (*)
C:\Avenger\mhmik1.del 05/08/2006 13.07 63.16 KB Hidden from Windows API.
C:\Avenger\mhmik1.dll 05/08/2006 13.07 63.16 KB Hidden from Windows API.
C:\Avenger\mhmik1.upd 05/08/2006 13.07 61.26 KB Hidden from Windows API.

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-23 09:58:41
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.10 ----

SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys AA80216D
INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys AA801FC2

---- Registry - GMER 1.0.10 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version@Version 0x03 0x92 0x4A 0xE5 ...
Reg \Registry\MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version@Version 0x03 0x92 0x4A 0xE5 ...

---- Files - GMER 1.0.10 ----

File C:\Avenger\mhmik1.del
File C:\Avenger\mhmik1.dll
File C:\Avenger\mhmik1.upd
File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File F:\System Volume Information\MountPointManagerRemoteDatabase
File F:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----

**Simeon** · 23-08-2006, 13:54

Rootkit nella cartella C:\Avenger...?!

La chiave AppInit_DLLs sembrerebbe ancora alterata.

Con Gmer posta un log di Autostart (omonima scheda).

**robert965** · 23-08-2006, 14:03

Intanto grazie per la risposta
Eccolo qui:

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-23 10:33:52
Windows 5.1.2600 Service Pack 2

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon@DLLName = WgaLogon.dll

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = C:\:c_2186b.nls

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\System32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
C-DillaSrv /*C-DillaSrv*/@ = C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
IISADMIN /*Amministrazione di IIS*/@ = C:\WINDOWS\system32\inetsrv\inetinfo.exe
MSSQL$SQLEXPRESS /*SQL Server (SQLEXPRESS)*/@ = "C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
SMTPSVC /*Protocollo SMTP (Simple Mail Transfer Protocol)*/@ = C:\WINDOWS\system32\inetsrv\inetinfo.exe
SoundMAX Agent Service (default) /*SoundMAX Agent Service*/@ = C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
SQLWriter /*SQL Server VSS Writer*/@ = "C:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe"
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe
W3SVC /*Pubblicazione sul Web*/@ = %SystemRoot%\system32\inetsrv\inetinfo.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@DataLayerC:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe = C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
@ADSL_A2A2Installed /*file not found*/ = A2Installed /*file not found*/
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE
@!ewido"C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized = "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized

HKCU\Software\Microsoft\Windows\CurrentVersion\Run @CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved >>>
@{5a61f7a0-cde1-11cf-9113-00aa00425c62} /*IIS Shell Extension*/C:\WINDOWS\system32\inetsrv\w3ext.dll = C:\WINDOWS\system32\inetsrv\w3ext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DL L = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DL L
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{52B87208-9CCF-42C9-B88E-069281105805} /*Trojan Remover Shell Extension*/(null) =
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programmi\iTunes\iTunesMiniPlayer.dll = C:\Programmi\iTunes\iTunesMiniPlayer.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0792.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0792.00.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandler s\ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll

HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SU B_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=hom e
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.tiscali.it/ = http://www.tiscali.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-help@CLSID = C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DL L
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DL L
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters\Interfaces\{5DBA6DA5-BB40-4020-BD3A-A675F4DA99BA} /*Bridge di rete (Bridge di rete)*/ >>>
@IPAddress192.168.0.2 = 192.168.0.2
@NameServer192.168.0.1 = 192.168.0.1
@DefaultGateway192.168.0.1 = 192.168.0.1
@Domain =

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
ADSL Diagnostic Tools.LNK = ADSL Diagnostic Tools.LNK
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
InterVideo WinCinema Manager.lnk = InterVideo WinCinema Manager.lnk

---- EOF - GMER 1.0.10 ----

**Simeon** · 23-08-2006, 14:12

Scovato! Si nasconde negli ADS.

Scarica The Avenger
estrailo sul desktop, avvialo, seleziona “Input script manually”, clicca sulla lente di ingrandimento ed incolla nella finestra che si apre quanto segue:

codice:

Registry values to replace with dummy: 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\Avenger\mhmik1.del
C:\Avenger\mhmik1.dll
C:\Avenger\mhmik1.upd

Folders to delete:
C:\Documents and settings\**********
C:\Windows\Temp

Clicca su “Done”, poi sul semaforo; conferma i messaggi che appaiono; il computer si riavvierà.

N.B. Al posto degli asterischi metterai l'esatto nome di quella brutta cartella contenuta in C:\Documents and Settings (ricordati di abilitare la visualizzazione dei file nascosti); la riconoscerai sicuramente; se hai dei dubbi aspetta a procedere, segnala solo i nomi delle cartelle presenti nel suddetto percorso.

Posta poi il log di The Avenger (è il file formato testo che trovi in C:\);

**robert965** · 23-08-2006, 14:22

Avenger già c'è, ed infatti i i tre file da eliminare sono nella cartella
C:Avenger...,
La cartella in C:\Documents and settings\**********,
l'ho eliminata a mano dopo averla vista tramite un prog ftp.
ora non vedo niente, ovviamente visualizzazione dei file nascosti è attivata, vado ugualmente, con avenger?
il pc poi verrà riavviato giusto?

**Simeon** · 23-08-2006, 14:33

Abilita la visualizzazione dei file nascosti e controllo se la cartella è ancora presente:
Strumenti => Opzioni cartella => Visualizzazione => Visualizza cartelle e file nascosti.

Se non l'hai già fatto disabilita il ripristino di configurazione di sistema:
Risorse del computer => Proprietà => Ripristino configurazione di sistema => Disattiva ripristino configurazione di sistema (lo riattiverai a problema risolto).

Procedi con Avenger.
Finchè non ripristiniamo la AppInit_DLLs sarà impossibile eliminare il rootkit.

**robert965** · 23-08-2006, 14:44

Fatto, ecco il risultato

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\rsbcvowd

*******************

Script file located at: \??\C:\WINDOWS\system32\hf^qluyf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Avenger\mhmik1.del deleted successfully.
File C:\Avenger\mhmik1.dll deleted successfully.
File C:\Avenger\mhmik1.upd deleted successfully.
Folder C:\Windows\Temp deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Quando avvio mi parte in automatico la scansione da parte di VirIT e come è partita mi ha eliminato l'ennesimo trojan

**Simeon** · 23-08-2006, 14:47

Che trojan è, ti da qualche indicazione?

Vediamo di finire con il linkoptimizer.

Avvia HijackThis.
vai su Open the Misc Tools section / Open ADS spy, togli il segno di spunta alla casella “Quick scan”, fai una scansione e posta il log.

**robert965** · 23-08-2006, 14:59

fatto ma è una cosa enorme, ci sono 2000 foto che ho sul secondo disco

avrò sbagliato qualcosa?
se posto il log ci vuole una settimana per guardarlo tutto che faccio?

su HijackThis ci sono tre caselle una sola era spuntata: Ignore safe system ....

questo era il trojan:

C:\WINDOWS\Downloaded Program Files\activex_1376_it.exe Possibile variante da Trojan.Win32.Dialer.FL

**Simeon** · 23-08-2006, 15:51

Riguardo gli ADS, individua c_2186b.nls (è lui il linkoptimizer) ed eliminalo.

Fai una nuova scansione ed assicurati che non ricompaia

Discussione: Linkoptimizer quasi eliminato

Strumenti discussione

Ricerca discussione

Visualizza

Linkoptimizer quasi eliminato

Permessi di invio