Gromozon - dopo i tool ancora problemi, come vado avanti?

[kemper boyd]

Ciao a tutti, questo è il mio primo post.
Si, sono l'ennesima vittima di Gromozon/LinkOptimizer.
Ma prima di tutto, a mò di presentazione, una premessa telegrafica.
Non sono un frequentatore "attivo" di forum: di solito trovo le info che mi servono nelle guide e nei topic già aperti.
Non sono un esperto, anzi a dirla tutto il più delle volte mi sembra un traguardo già capire i passaggi minimi e far partire un programma.
Con questo virus sono andato da solo finchè ho potuto, ma ora mi servirebbe un pò d'aiuto su come proseguire nella procedura di rimozione, e visto che c'è sempre qualcuno disponibile e gentile fino all'inverosimile anche con i "cap'e'ciuccio" come me vi provo a spiegare la mia situazione.

Firefox mi dava in continuazione i msg di errore Shockwave e Flash. Fra le connessioni ne vedo a un tratto una con un nome strano. La elimino. Cerco qualche info, trovo in Document and Settings un profilo utente con lo stesso nome strano e lo cancello manualmente.
Cancello il profilo anche dalla finestra Account (esegui: conrol userpasword2, mi sembra).

Continuo a informarmi e cerco di scaricare i tool Prev e Sym, incontrando le difficoltà comuni a molti altri "infetti": chiusura imporvvisa dei browser, impossibilità di accedere ai siti che ospitano i file e ai forum che ne parlano, ecc.

Alla fine li lancio, ecco i dettagli:

1) Prev

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\lpt1.pmc
\\?\C:\WINDOWS\system32\lpt1.pmc
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\yhgpe1.dll
>>>Error: File C:\WINDOWS\yhgpe1.dll could not be removed - it will be removed on the next reboot.


Trojan.Gromozon Removed!

2) Sym

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
service: QnJKP (logon as: .\MxBQVa, passed filters)

Trojan.Linkoptimizer has not been found on your computer.


Faccio altre scansioni con Sophos Antirootkit, F-Secure Blacklihgt: non segnalano niente. Faccio una passata con CureIt e con un anti spyware (avg). Niente.
Gmer però non mi parte in nessun modo, nè cambiando nome nè in modalita' provvisoria. Provo a scaricare da altre due fonti con il nome già cambiato (usando un altro pc), ma il rislutato è sempre lo stesso.
Rilancio il tool prev: niente, ma eseguo comunque una scansione completa.

Faccio una scansione con VirIt aggiornato, che mi trova ed elimina il Bho e non trova nient'altro.
Hijackthis non c'è verso di farlo partire: anche qui le ho provate tutte: col nome cambiato, scaricandolo da più fonti, ecc. No way.
Gmer uguale: non va.


ANALISI dopo questi primi tentativi (in base a quanto indicato nella vs guida)

Non ho più l'utente con nome strano in Document and Settings.
Ho controllato con myinstaller e non ho un'installazione chiamata LinkOptimizer o negli altri modi indicati dalle guide che ci sono in giro.

Non ho dll nascoste in c:\Windows.
Non ho file nascosti con estensione exe, dll o temp in c:\Programmi nè in c:\Windows\Temp.


Mi rimangono sul pc:

Nei Servizi - QnJKP associato a ./MxBQVa, che è lo stesso nome dell'utente nascosto, con tipo di avvio Automatico. Ma non è attivo.

Dalle Proprietà di questo servizio vedo il percorso del file eseguibile:

c:\Programmi\WindowsNT\mGFkHr.exe. Vado a vedere e nella stessa cartella c'è anche
c:\Programmi\WindowsNT\kjFiRn.exe.

Entrambi sono in verde (criptati? se mi ricordo bene dalla guida...).

Adesso dovrei usare Gmer e Hijackthis per postare un log ma non mi parte nessuno dei due...

E per finire, ogni volta che provo anche solo a digitare gmer o hijackthis su un motore di ricerca qualsiasi mi si chiude il browser.

Un'altra cosa strana: facendo tasto destro/proprietà sulla dll di gmer (c:\windows\gmer.dll) si chiude la finestra. Sembra che tutto quello che sia collegato al nome o al programma venga bloccato immediatamente.

E qui che mi fermo, perchè un pò la disinstallazione manuale mi spaventa (non è il mio pc personale, non vorrei fare un casino), anceh perchè nella spiegazione si fa rifimento a file e parti del virus che io non ho/non sono capace di trovare (si, l'ho attivata la visualizzazione dei file nascosti).

Qualcuno mi consiglierebbe come andare avanti? Qualsiasi proposta mi sarebbe di grande aiuto.

Madonna, ho scritto un casino. Spero di essere stato chiaro.

Grazie.

In allegato provo a mettere gli screenshot di cartelle e contenuti, magari servono, visto che non posso postare log di hjt e gmer.

[amvinfe]

hai un pvt

[kemper boyd]

ciao,
ti ho risposto in pvt. non so se è questa la proecedura.
se non si può scusami, fammi sapere e riscrivo normanlmente.

grazie mille comunque, qualsiasi consiglio è come manna dal cielo!

[kemper boyd]

Ciao, forse ce l'ho fatta!!!

Ero sul pc infetto e avevo un pò di difficoltà ad accedere al forum e ad usare internet in generale. SOno andato un pò a memoria con le indicazioni tue e di altri forum e di qualche guida. Pensa che avevo aperto tre topic in tre forum diversi, perchè una volta riuscivo ada ccedere ad uno, una volta all'altro....un macello.
Insomma, ho cercato di arrangiarmi. Se può interessare ecco la "cronaca".

Prima di capire che il pc era stato infettato da gromozon/LO,
avevo cancellato manualmente l'account random e la cartella corrispondente in Documents & Settings.

Non mi partiva niente, nè HJT, nè Gmer, nè Avenger.
I due tool pserv e sophos non eliminavano completamente il malware.
Virit mi ha eliminato solo il BHO.
Poi, grazie a te, grazie a qualche info reperita in rete, ho cominciato a capirci qualcosa.

Con pserv ho eliminato il servizio con nome random QnJKP

Con agvpfix ho eliminato i due file in verde presenti C:\Programmi\WindowsNT. I miei si chiamavano mGFkHr.exe e kjFiRn.exe.

Con RegSeeker ho fatto una ricerca delle voci inutili inserendo i nomi dei due file verdi e il nome dell'account del servizio con nome random (account: MxBQVa).

ho eseguito i comandi:
sc stop QnJKP
sc delete QnJKP

Ho lanciato Gmer (finalmente! erano giorni che tentavo) che non mi ha trovato file nascosti.

Ho lanciato Avenger e ho inserito
----------------------------------------------
Citazione:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\Q nJKP

Files to delete:
C:\Programmi\Windows NT\kjFiRn.exe
C:\Programmi\Windows NT\mGFkHr.exe
----------------------------------------------

Per quello che ho capito questo passaggio con Avenger credo sia stato inutile.

Alla chiave di registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon,
accanto alle voce Userinit avevo la stringa
c:\windows\system32\userinit.exe,"c:\windows\lexma rk-tool.exe.

Il file Lexmark-Tool.exe aveva identica data di creazione dei due file in verde presenti in c:\Programmi\WindowsNT. Lo trovavo in esecuzione ad ogni riavvio. E non ho nemmeno una stampante Lexmark!

Ho usato agvpfix per cancellare il file Lexmark-Tool.exe.
Ho modificato manualmente la stringa alla voce Userinit nel registro,
cancellando la parte "c:\windows\lexmark-tool.exe

Non riuscivo in alcun modo a zipparlo, copiarlo o altro.

Rilancio RegSeeker e faccio una ricerca con i vari nomi dei file del malware.
Solo la voce QnJKP restituisce voci che non so interpretare, le altre sono a posto.

Finalmente mi parte HJT e questo è il log.
Se ti va di dare una controllatina...:

Logfile of HijackThis v1.99.1
Scan saved at 14.31.13, on 28/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\WinPortrait\wpctrl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\WinPortrait\floater.exe
C:\Programmi\StopDialers\StopDialer.exe
C:\PROGRA~1\Nokia\NOKIAP~1\VFSWRA~1.EXE
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\#g\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unina.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programmi\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [BHR4.1] C:\Programmi\Zamaan's Software\Browser Hijack Retaliator 4.1\BHR4.1.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Download All by Gigaget - C:\Programmi\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Programmi\Giganology\Gigaget\geturl.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Scaricare usando &BitSpirit
- C:\Programmi\BitSpirit\bsurl.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CPPI - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\CPPI.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SFPWQ - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\SFPWQ.exe (file missing)



Alla fine rilancio RegSeeker e faccio una ricerca con i vari nomi dei file del malware.
Solo la voce QnJKP restituisce voci che non so interpretare, le altre non danno riscontri.

Al più presto (fra qlc ora) ti mando il log di avenger e il backup, se può serivre, e provo a fare una cattura di Regseeker con queste voci che non capisco.

A me pare tutto a posto, ma, ripeto, ne so davvero poco, anzi niente!
Credo che in questa variante invece di www . google . com e degli altri nomi usati l'exe maledetto era proprio Lexmark-Tool.exe, o sbaglio?

Ti ringrazio davvero di cuore, sei stato gentilissimo, disponibilissimo, preciso e chiaro nelle spiegazioni. Non sai quante volte ho pensato "se non mi aiutano sono fregato!".
GRAZIE!

[amvinfe]

hai fatto tutto tu, io ti ho dato solo delle indicazioni con i passaggi da seguire
complimenti, scommetto che la tua soddisfazione ora è tanta

Ci sono ancora due valori, non collegati a file da eliminare
O23 - Service: SFPWQ
O23 - Service: CPPI

poi con HijackThis elimina
R3 - Default URLSearchHook is missing

non mi sembra d'aver letto che hai usato anche il fix_tool Symantec, usalo
http://securityresponse.symantec.com...FixLinkopt.exe
parte solo dalla provvisoria.


Una gentilezza, in C:\ è presente la cartella avenger, mi mandi per cortesia il file zippato?
Grazie.

[kemper boyd]

in effetti la mia soddisfazione era tanta, ho anche fatto una discreta figura con il proprietario del computer ....ma poi lui ha incasinato tutto. Mi spiego.
Avevo usato il tool Symantec, mi sono dimentiocato di scrivertelo.

Avevo fixato proprio le due voci che mi dicevi con HJT
O23 - Service: SFPWQ
O23 - Service: CPPI
ma non la terza
R3 - Default URLSearchHook is missing.

Sono andato via dicendo al proprietario del pc, uno dei miei capi al lavoro, di fare anche una passata con regseeker.
Lui, che aveva assistito a parte della "disinfestazione", ha ripetuto delle cose che avevo fatto io di testa sua usando regseeker un pò alla cazzo di cane: ha fatto una ricerca per chiavi inutili impostando come chiave i nomi dei due file eliminati con HJT, SFPWQ e CPPI, e ha cancellato tutto. Poi ha fatto una pulizia del registro, ha detto che gli sono uscite più di 1000 voci, che lui ha cancellato in due battute, prima circa 900 poi circa 100. E qui cominciano i casini.
MI ha chiamato dicendo di avere problemi, con icone del menù start sparite e impossibilità di riavviare.
Gli ho detto di provare a ripristinare i backup. E' riuscito a ripristinare solo il backup delle 100 voci, ma non gli altri. Spaventato ha spento il pc dal tasto d'accensione... e boom!

Gli compare solo il desktop, senza alcuna icona.
Nel task manager l'unica voce attiva dell'utente è proprio il task.
Vado e provo a riavviare in mod provv. Stessa cosa, desktop e nessun icona, nessun programma, nemmeno la barra d'avvio.
Provo "ultima configurazione sicuramente funzionante, ma la musica non cambia.
Insomma, con quel pc io non riesco a fare assolutamente nulla, sembra che non ci sia più niente.

Ho solo duie domande:
1) secondo te si può almeno recuperare il contenuto dell'HD?
2) hai una vaga idea di cosa diavolo è successo? Io di queste cose ne capisco ancora meno di zero...

Se riesco a recuperare il contenuto dell'HD ti mando sicuramente il file backup.
Scusa se ti annoio ancora, ma ci sono rimasto troppo male...

[aris73]

cosa usuale per chi ha l'abitudine di cancellare tutto con regseeker, devi utilizzare il cd/dvd di ripristino del SO ed utilizzare l'opzione ripristina/ripara...

[amvinfe]

se già hai provato con Ripristino di configurazione di sistema la vedo dura, molti dei programmi che effettuano un recupero dei dati quasi mai funzionano in modo corretto e soprattutto completo.

Se il tuo capo è riuscito a ripristinare solo le seconde 100 voci, significa che al momento del backup dei file\chiavi non ha cambiato il nome del file di backup, in pratica il secondo è andato a sovrascrivere il primo.

Sicuro d'aver già tentato in modo corretto con il Ripristino?

Start>Programmi>Accessori>Utilità di sistema>Ripristino configurazione di sistema

qualora dovesse funzionare fai attenzione, ma sei già pratico , che ripristini anche i file infetti


Verifica se, magari , nella cartella presente in C:\Programmi\Regseeker non vi sia anche l'altro backup, il primo.

[kemper boyd]

Originariamente inviato da aris73
cosa usuale per chi ha l'abitudine di cancellare tutto con regseeker, devi utilizzare il cd/dvd di ripristino del SO ed utilizzare l'opzione ripristina/ripara...

Giustissimo, mi mangerei le mani per aver detto di usare regseeker senza pensare!


amvinfe:
ho provato a selezionare la voce "Ripristina ultima configurazione sicuramente funzionante" nel menù che appare quando si avvia in mod provvisoria, e non cambia nulla.

Da
Start>Programmi>Accessori>Utilità di sistema>Ripristino configurazione di sistema
non posso perchè la barra d'avvio non mi compare!!! Sia in Mod normale che in Mod provvisoria, sia loggato da Utente che da Admin, sia facendo Ripristina ultima configurazione sicuraemnte funzionante, non compare proprio nulla, nè icone, nè cartelle, nè ci sono processi Utente avviati nel Task Mngr, solo quelli System e Servizio Locale. Solo lo sfondo del desktop: da panico.

Quanto alla sovrascrittura, mi sembra una spiegazione ineccepibile.

Approfitto ancora (mi odierete ...) con due domande:
Collegando un altro HDD con SO si può riuscire a recuperare almeno i dati dall'HDD del pc in coma?
Facendo il ripristino da prompt cambierebbe qualcosa?

[aris73]

certo che si recuperano, ma se sovrascrivi il SO i dati non verranno cancellati ma solo spostati, comunque attraverso il task manager che si avvia di sicuro puoi fare qualsiasi cosa, avviare qualsiasi programma, addirittura masterizzare i dati che vorresti tutelarti maggiormente su dvd, o collegare un HD esterno e trasferire i dati là.. é semplicissimo, apri il task, vai in file, selezioni esegui nuova operazione, scegli sfoglia, ti si visualizza tutto e col tasto destro del mouse fai tutto se vuoi trasferire in un HD esterno, se invece vuoi masterizzare vai a cercare in programmi l'eseguibile del programma di masterizzazione e lo lanci.... spero d'essere stato abbastanza chiaro, se ti serve altro chiedi pure..