Virtumonde

**Deifobe** · 13-06-2008, 10:10

Originariamente inviato da faith72
in effetti ho dovuto eliminare le chiavi sotto safeboot/minimal a mano; pensavo bastasse definire l'utente come amministratore ma ho visto che per la modifica dei registri c'è un altro livello di autorizzazioni... adesso sono scomparse.

allora il dubbio era fondato.. Ti spiego: avenger a volte non riesce ad eliminare delle chiavi (a parte le autorizzazioni, ad esempio nel primo avenger usciva "accesso negato", che non era riferito al registro ma al servizio in sè). Combofix, invece, sgancia sia i files che le chiavi.. ed ho pensato fosse sbagliato lo script quando ho visto che nemmeno combofix le aveva eliminate.

Solo una cosa; da avenger è uscito il messaggio che può cancellare solo chiavi sotto local_machine quindi sono rimaste lì le 2 sotto current_user. Se dici che è opportuno farlo, le cancello a mano.

certo, ma quelle due non sono le sole a dover essere eliminate..
ora però mi è venuto un altro dubbio.. Quando esegui avenger, al riavvio ricevi una richiesta, da spybot, di modificare il registro. Starai mica rispondendo di no, vero?
Te lo chiedo perchè da avenger risultano eliminate delle chiavi... apro systemscan e le ritrovo. Ora: o è il registro che si ripristina o è spybot che non lascia eseguire le modifiche. Anche se temporaneamente, vedo che le chiavi vengono eliminate.. non credo sia un discorso di autorizzazioni.

**faith72** · 13-06-2008, 10:27

All'ultimo riavvio non ho avuto alcuna richiesta da Spybot. Mi era successo con ComboFix;
il pc si riavviava e partivano gli avvisi. Immaginavo che era combofix che faceva le sue cose e quindi ho sempre dato ok alle modifiche (finchè non sono riuscito a chiudere spybot).
Cmq mi lasciava cancellare le chiavi (senza cambiare autorizzazioni) temporanemante, ma nell'avvio successivo me le ritrovavo. Poi ho cambiato i permessi dell'utente, ho cancellato le chiavi ed al riavvio successivo non le ho più trovate... se dici cambio le autorizzazioni su tutto il blocco registri (finora l'ho fatto sulle 2 chiavi specifiche) e ritento l'ultimo scan con avenger.

**Deifobe** · 13-06-2008, 10:36

ok, si, comincia a fare questa variazione, io ti creo uno script completo x avenger (tipo il primo creato per combofix) così siamo certi di non aver saltato altre chiavi.

dammi qualche minuto..

**Deifobe** · 13-06-2008, 10:49

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\CLSID\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]

[-HKEY_CLASSES_ROOT\CLSID\{02E857FD-2262-415D-BC0F-124F9E6241F0}]

[-HKEY_CLASSES_ROOT\CLSID\{33940B89-B786-4278-A55C-285A98BAAB2A}]

[-HKEY_CLASSES_ROOT\CLSID\{CED9F311-4D80-4EFF-AEB6-909B56045850}]

[-HKEY_CURRENT_USER\Software\Microsoft\affri]

[-HKEY_CURRENT_USER\Software\Microsoft\rdfa]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file

senza chiuderlo, salvalo nuovamente come fix2.reg (dovesse servire ancora..)

Esegui avenger e nella finestra copia/incolla:

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\m supdate
HKEY_LOCAL_MACHINE\system\controlset002\services\m supdate
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\msupdate
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_msupdate
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_msupdate
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_msupdate
HKEY_LOCAL_MACHINE\system\controlset001\services\U bh06
HKEY_LOCAL_MACHINE\system\controlset002\services\U bh06
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\Ubh06
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_Ubh06
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_Ubh06
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_Ubh06
HKEY_LOCAL_MACHINE\system\controlset001\services\k qW28
HKEY_LOCAL_MACHINE\system\controlset002\services\k qW28
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\kqW28
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_kqW28
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_kqW28
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_kqW28
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geBrsRkl
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{02E857FD-2262-415D-BC0F-124F9E6241F0}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{33940B89-B786-4278-A55C-285A98BAAB2A}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{9CAE5185-3115-4089-954E-0E4D59B80048}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\Ubh06.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\Ubh06.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\Ubh06.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\Ubh06.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Ubh06.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\Ubh06.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\kqW28.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\kqW28.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\kqW28.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\kqW28.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\kqW28.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\kqW28.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato.

**faith72** · 13-06-2008, 14:45

http://www.savefile.com/files/1607336

niente da fare, avevi ragione tu; le chiavi si rigenerano, magari non subito dopo il riavvio, ma prima o dopo risaltano fuori...

**Deifobe** · 13-06-2008, 15:28

dici? hai già controllato?

posta un systemscan
esegui registry search tool e cerca Ubh06 e kqW28

**faith72** · 13-06-2008, 16:41

Ciao. Confermo, ci sono ancora
http://www.savefile.com/files/1607468

**Deifobe** · 13-06-2008, 16:44

gli do uno sguardo ora..

però vedo che le ricerche nel registro si sono snellite di un bel po' (guarda a pag 1..)

edit: allora, per quanto riguarda Ubh06 e kqW28, le voci si sono ridotte a 4:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\Ubh06.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\Ubh06.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\kqW28.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\kqW28.sys]

Non ci sono più i servizi, le legacy e ControlSet002\Control\SafeBoot

edit2:
se si tratta di restrizioni non so.. è come dire che puoi modificare/eliminare i servizi ma non il Browser Helper Objects.. però potrebbe essere visto che non è servito nemmeno fixarle con hjt.

cmq quello che vorrei ti fosse chiaro è che non hai nessun file tale da far funzionare quelle chiavi .

-----

Apporta queste modifiche entrando nel registro:

[HKEY_USERS\S-1-5-21-1085031214-1614895754-1417001333-1109\Software\Microsoft\Windows\CurrentVersion\App lets\Regedit]
"LastKey"="Risorse del computer\\HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentContr olSet\\Control\\SafeBoot\\Network\\kqW28.sys"
(clicca 2 volte su LastKey e, nella finestra che si apre, lascia scritto solo "Risorse del computer" )

[HKEY_USERS\S-1-5-21-1085031214-1614895754-1417001333-1109\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ComDlg32\OpenSaveMRU\sys]
"b"="C:\\WINNT\\system32\\drivers\\kqW28.sys"
"a"="C:\\WINNT\\system32\\drivers\\Ubh06.sys"
(elimina a e b )

Poi elimina queste 4:
HKEY_CLASSES_ROOT\CLSID\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}
HKEY_CLASSES_ROOT\CLSID\{02E857FD-2262-415D-BC0F-124F9E6241F0}
HKEY_CLASSES_ROOT\CLSID\{33940B89-B786-4278-A55C-285A98BAAB2A}
HKEY_CLASSES_ROOT\CLSID\{CED9F311-4D80-4EFF-AEB6-909B56045850}

Fatto questo, chiudi il registro ed esegui avenger (lo script precedente)

**faith72** · 13-06-2008, 17:01

Direi proprio di sì. Ma, solo per curiosità, come fai a sapere che quelle 2 chiavi vanno cancellate? Il pc ora va bene... c'è la possibilità che si ripigli 'sta peste? Un'altra cosa: installargli il SP3 può aiutare ad evitare che succeda di nuovo la stessa cosa?
TrendMicro me lo segnalava (insieme ad un altro paio di pc) come pieno di falle critiche per la sicurezza e listava le patch di microsoft mancanti. Se cercavo di scaricare le singole patch mi andava in errore. Sugli altri 2 ho installato il SP3 e adesso non compaiono + nella lista nera di TrendMicro. Tra l'altro considera che fino all'altro ieri quando cercavo di avviare il servizio degli agg.automatici mi uscivano errori mentre adesso parte...
ciao

**Deifobe** · 13-06-2008, 17:10

ti hi aggiundo un edit2 in verde. Mentre lo leggi rispondo modificando sempre questo post..

edit:

Ma, solo per curiosità, come fai a sapere che quelle 2 chiavi vanno cancellate? Il pc ora va bene... c'è la possibilità che si ripigli 'sta peste?

ehmm le chiavi sono di 4 in 4... tu a quele ti riferisci?
Ad ogni modo.. quelle in safeboot.. i 2 sys non esistono e sono stati aggiunti.
Se ti avessi fatto esportare la chiave safeboot in formato di testo sapresti anche quando sono state create.. ma sono passaggi inutili da far fare e tu dovevi già lavorare abbastanza su questo pc..
Se se la riprende? se rifaà la stessa cosa già fatta, si...così come potrebbe prendersi un'infezione diversa.. Cmq il pc è pulito. Voglio anche precisarti che non sempre il registro di configurazione viene ripulito quasi come se si trattasse di un ripristino; Virtumonde si debella ma cmq lascia un po' di confusione al suo passaggio... altrimenti si dovrebbe cercare nel registro ogni singolo file eliminato e cancellarne il riferimento

Un'altra cosa: installargli il SP3 può aiutare ad evitare che succeda di nuovo la stessa cosa? TrendMicro me lo segnalava (insieme ad un altro paio di pc) come pieno di falle critiche per la sicurezza e listava le patch di microsoft mancanti. Se cercavo di scaricare le singole patch mi andava in errore. Sugli altri 2 ho installato il SP3 e adesso non compaiono + nella lista nera di TrendMicro. Tra l'altro considera che fino all'altro ieri quando cercavo di avviare il servizio degli agg.automatici mi uscivano errori mentre adesso parte...

Prova a fare la stessa cosa anche su questo pc... semplice

Discussione: Virtumonde

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio