P2P Sicuro - Guida - Guida alla rimozione del rootkit di Gromozon.com alias rootkit Linkoptimizer

Premessa
Visto che stiamo assistendo ad un’exploit consistente di questo rootkit, volevamo cercare di verificare la piena funzionalità delle poche guide che si trovano in rete prima di linkarle qui pubblicamente, ma ho riscontrato difficoltà a portare a termine le procedure per problemi di permessi su files, utenti e servizi, vuoi perché il rootkit è evoluzione, vuoi perché le sue varianti sono diverse, o magari non sono stata capace e basta .

Ho cercato comunque di bypassare questi problemi e di usare programmi di semplice utilizzo anche da parte di chi non mastica PC 24 ore al giorno. E’ anche probabile che si possa trovare una procedura più semplice e veloce, ma per eliminare ogni traccia, e avvertendo una certa urgenza viste le infezioni, per il momento mi devo accontentare .

Considerando però che la mia procurata infezione era “fresca”, anche se il modo di operare del rootkit ci stava già tutto, non è detto che nel suo variare siano necessarie anche altre misure, ma probabilmente prima o poi i vari antivirus saranno in grado di rilevare l’infezione: da notare che nel mio PC non c'è mai stata traccia di LinkOptimizer durante tutte le prove, per cui non credo che sia la causa scatenante (o almeno non la sola), anche se di fatto il rootkit apre le porte a lui, a varianti del Trojan Agent e altra robetta

I sintomi..... (controllate anche le varianti a fondo Guida)
La presenza di queste tipologie di files rilevabili dal log di HijackThis:
-c:\windows\temp\[random]1.exe (nome casuale che finisce per 1.exe) (comune anche ad altri malware)
-\\?\c:\windows\[random o nome file non permesso].com, lpt, nul, prn o altro
-c:\:[adsstream]
-R3 - Default URLSearchHook is missing(comune anche ad altri malware)
-O2 - BHO: Class- {--codice variabile--} - C:/WINDOWS/[nome random.dll] (file missing) o (no file) (comune anche ad altri malware)

...Che sono anche le Verifiche da fare
-Praticamente certa invece, la presenza di un nuovo utente nascosto in Document and Setting con un nome random (es. jUuNjkLDrhs) (lo vedete attivando le due opzioni per la visualizzazione di cartelle e files nascosti, Tasto dx su Start--Esplora--Menù Strumenti--Opzioni Cartella--Visualizzazione -Mettere la spunta a 'Visualizza tutti i files' o "Visualizza cartelle e files nascosti" -Togliere la spunta a 'Non visualizzare cartelle e files di sistema' o "Nascondi i files protetti di sistema), ed un nuovo servizio a lui associato (per controllare: Start--digitate services.msc--invio, e noterete che nella lista, i servizi sono associati, nella colonna Connessione, a tipologie quali Servizio Locale, Servizio di Rete ecc., mentre i/il servizio che cerchiamo, in quella stessa colonna, sarà associato a qualcosa tipo "/jUuNjkLDrhs", ovvero lo stesso nome dell'utente nascosto. Ciò starà a significare che ci saranno dei file eseguibili infetti per questi servizi, crittografati (per cui li vedrete di colore verde) Per verificare la presenta di questi files cliccate con tasto dx sul servizio associato all'utente dal nome strano--Proprietà--casella "Percorso file eseguibile":

Rimozione Gromozon

attualmente ne sono stati localizzati in C:\Programmi\File comuni\System, C:\Programmi\File comuni\Services, C:\Programmi\File comuni\Microsoft Shared, e ultimamente anche in C:\Programmi\ e C:\Programmi\Windows NT (dove ovviamente C: è la lettera che identifica la partizione dove avete il Sistema Operativo)

-Programmi citati e utilizzati nella Guida: Hijackthis, Ccleaner, ReegSeeker, AgVPFix, Pserv, Tool PrevX, Tool Symantec, Virit, Sophos Antirootkit (richiede registrazione gratuita), Gmer, MyUninstaller, RunAnalyzer, Rootkit Releaver, IceSword, Avenger, Virit
Non è assolutamente detto che occorrano tutti, anche perchè diversificheremo in tre tipologie di rimozione, quindi vedete più avanti quali scaricare subito

IMPORTANTE-Leggere prima di iniziare: *Rimanete disconnessi da Internet per tutta la procedura (staccate il cavo di rete se avete un Router)*Disattivate il Ripristino di Sistema*Attivate la visualizzazione di cartelle e files nascosti (ricordate che sono due opzioni, se non siete sicuri seguite il link)*Disattivate dall’avvio automatico tutti i processi (Start--esegui--digitare msconfig--Tab Avvio togliendo la spunta a tutto, li rimetterete a lavoro finito)

Disattivate il Ripristino di Sistema

Windows XP
Secondo il tipo di visualizzazione del Menù Avvio:
-Tasto dx sull'icona Risorse del Computer o Start--tasto dx Risorse del Computer
-Ripristino configurazione di Sistema
-Mettere la spunta a Disattiva ripristino configurazione di sistema...

Windows Millenium
-Start--Pannello di controllo--Sistema--Prestazioni--File System--Risoluzione dei problemi
-Mettere la spunta a Disattiva Ripristino configurazione di sistema
-Riavviare

Windows 2000 Windows 98 non hanno la funzionalità del Ripristino di Sistema

Visualizzazione di cartelle e files nascosti

Tasto dx su Start--Esplora--Menù Strumenti--Opzioni Cartella--Visualizzazione
-Mettere la spunta a 'Visualizza tutti i files' o "Visualizza cartelle e files nascosti"
-Togliere la spunta a 'Non visualizzare cartelle e files di sistema' o "Nascondi i files protetti di sistema)

Metodo A: Utilizzando i tool di rimozione (con verifica dell'effettivo operato)

-->SE I VARI PROGRAMMI NON FUNZIONANO, ESEGUITE I PUNTI 1 E 2 , POI PASSATE AL PUNTO "10"<--
1)-Ripulite tutto con Ccleaner disattivando nelle Opzioni Avanzate “cancella solo file più vecchi di 48 ore” (meglio sarebbe controllare manualmente che sia cancellato tutto il contenuto delle cartelle Temp e Temporary Internet Files, e Prefetch)
2)-Controllate manualmente dove sono i files infetti relativi al servizio random (Start--digitate services.msc--invio, tasto dx sul Servizio associato all'utente dal nome strano--proprietà--annotate il percorso del file eseguibile, il nome del servizio e dell'utente associato, per ogni servizio)
3)-Lanciate il tool della PrevX
4)-Lanciate il tool della Symantec
5)-Lanciate Virit, aggiornatelo e fategli effettuare la scansione
6)-Copiate in una cartella a vostra scelta (potranno servire da allegare nel forum se volete che diamo noi un'occhiata), i tre log che i programmi generano:
-il primo log di Virit (si trova in C:\VEXPLITE\VIRITEXP.log;
-il log del PrevX in C:\gromozon_removal.log;
-il log del Symantec in [cartella dalla quale avete lanciato il programma] \FixLinkop.txt.
7)-Controllate in C:\Programmi o C:\Program Files se c’è la cartella del LinkOptimizer e cancellatela: non cercate mai di disinstallare il malware da Installazione Applicazioni: se lo trovate lì, (ma potrebbe chiamarsi anche Connection Service e adesso Power Verify, StrongestGuard e ConnectionKnight) usate MyUninstallerper rimuoverlo, utilizzando la funzione Delete, e successivamente eliminate la cartella se esistente
Opzionale)-Personalmente darei anche una passata con ReegSeeker (funzione "cerca files Inutili") dando come chiave di ricerca il nome del servizio random e il nome dell'utente random

Non sempre i due tool fanno quello che dichiarano, probabilmente dipende anche dalle varianti del rootkit che incontrano, quindi sarebbe auspicabile una verifica, a meno che non vogliate crogiolarvi ciecamente nella convinzione che sia andato tutto bene subito :

Con la procedura data al punto 2) controllate:
a). Se ancora esiste il servizio dal nome random (casuale): se c'è, eliminatelo (funzione Delete), con PServ
b). In Document and Setting se c'è ancora la cartella dell'utente dal nome random (casuale): se c'è, potete eliminarla tranquillamente a mano
c). Controllate nel percorso che avevate appuntato relativo al file eseguibile del servizio, se quel file è stato cancellato e se ce ne sono altri di colore verde: se ne trovate, eliminateli con AGVPFix
d)- Andate su Start--Esegui--digitate control userpasswords2 e dalla lista verificate che non sia più presente l'utente random: se c'è, naturalmente, eliminatelo

d). Lanciate Gmer, cliccate sulla casella Rootkit e lanciate lo scan: il file nascosto del Rootkit, se ancora presente, compare generalmente nelle ultime righe tra due di questi delimitatori: ---- EOF - GMER 1.0.10 ----, e generalmente si trova in C:\windows

10-QUANDO I TOOLS E I PROGRAMMI ANTIROOTKIT NON SI AVVIANO
Virit (scarica) è adesso pienamente in grado di risolvere il problema dei programmi che non funzionano e dei siti ai quali non si riesce ad accedere: avete bisogno della versione 6.1.28 del software (dovrete scaricarla da un'altro PC o da un'amico). Lanciate l'installazione che terminerà regolarmente, anche se l'antivirus non si avvierà: per poterlo eseguire dovete andare all'interno della sua cartella in C:\VEXPLITE e lanciare il file GOTGSOFT.BAT; questo permetterà all'antivirus di attivarsi ed eliminare subito il Rootkit che troverà in memoria, sbloccando programmi e Siti: a questo punto potete continuare con il punto 3 della guida

Metodo B: Windows 98 e Windows Millenium
1)-Cercate con Hijackthis i files del malware e fixateli in questo modo:

Mettere la spunta alle voci che si vogliono eliminare e premere il tasto Fix
Ricordo che è consigliabile mettere HJT in una cartella dedicata (non sul Desktop), in modo che possa essere in grado di generare un Backup delle modifiche, da recuperare in caso di necessità

se avete difficoltà potete allegare il log di HJT nel forum e vi aiuteremo ad individuarli ATTENZIONE: HijackThis potrebbe non funzionare, nel qual caso utilizzate RunAnalyzer, lasciategli caricare le informazioni, poi andate su "Rapporti" e cliccate su "Crea Rapporto stile HJT",salvatelo cliccando sull'icona apposita: non è proprio lo stesso che HJT, ma dovremo accontentarci, oppure lanciate subito VIRIT seguendo le istruzioni al punto 10 del Metodo "A" (appena qui sopra), altrimenti non funzionerà neanche quello.
2)-Ripulite tutto con Ccleaner disattivando nelle Opzioni Avanzate “cancella solo file più vecchi di 48 ore” (meglio sarebbe controllare manualmente che sia cancellato tutto il contenuto delle cartelle Temp e Temporary Internet Files)
3)-Lanciate il tool della Sophos e provate pure ad eliminare file e voci infette che trova, ma soprattutto annotateveli: non rimuoverà granchè, ma riusciremo a vedere meglio con che cosa abbiamo a che fare, e a verificare eventualmente in un secondo tempo che cosa via via si riesce a cancellare
4)-Rilanciate Virit, aggiornatelo, e fategli fare più scansioni (trova spesso i files nascosti a più riprese) Fino a qualche giorno fa, Virit non riusciva a gestire file nascosti del tipo -\\?\c:\windows\[random o nome file non permesso].com, lpt, nul, prn, anche se li segnala all'avvio come attivi, ma dalla versione del 21/09 è in grado di rimuoverli quasi tutti (anche qui, probabilmente dipende dalle varianti): l'unico neo appunto, è che dovrete eseguirlo più volte, (vedere questo post, il n. 42)
5)-Controllate in C:\Programmi o C:\Program Files se c’è la cartella del LinkOptimizer e cancellatela: non cercate mai di disinstallare il malware da Installazione Applicazioni: se lo trovate lì, (ma potrebbe chiamarsi anche Connection Service e adesso Power Verify, StrongestGuard, ConnectionKnight e StrongestOptimizer) usate MyUninstaller per rimuoverlo, utilizzando la funzione Delete, e successivamente eliminate la cartella se esistente
6-Opzionale)-Personalmente darei anche una passata con ReegSeeker (funzione "cerca files Inutili") dando come chiave di ricerca il nome del servizio random e il nome dell'utente random

QUESTA PROCEDURA E' APPLICABILE ANCHE A WINDOWS 98 E MILLENIUM relativamente ai punti 1-2-4-8-9 ( se possibile rinominate i files alla voce O4 di HJT da .exe a .vir)

Metodo C: Windows XP - Forse il più sicuro, il più difficoltoso, non sempre attuabile
I passaggi dovrebbero essere fatti così come li ho messi, e tutti hanno il loro motivo di essere: se per qualche motivo non riuscite a portare a termine la procedura, dovete ripartire dall'inizio

Nota-Sarebbe meglio portare a termine la procedura senza riavviare il PC per non correre il rischio che qualche files si autorinomini
1-Cercate con Hijackthis i files del malware e fixateli in questo modo:

nel mio caso avevo solo C:\windows\temp\ppng1.exe (se avete difficoltà potete allegare il log di HJT nel forum e vi aiuteremo ad individuarli)
2-Ripulite tutto con Ccleaner disattivando nelle Opzioni Avanzate “cancella solo file più vecchi di 48 ore” (meglio sarebbe controllare manualmente che sia cancellato tutto il contenuto delle cartelle Temp e Temporary Internet Files, e Prefetch)
3-Andate su Start--digitate services.msc--invio, tasto dx sul Servizio associato all'utente dal nome strano--proprietà--annotate il percorso del file eseguibile, il nome del servizio e dell'utente associato (nel mio caso il servizio era “NetGdR”, il percorso dell’eseguibile “C.\programmi\File comuni\system\ GRJ.exe” e “RofJQQ” l’utente)
4-Avviate Pserv, individuate il servizio, ed eliminatelo con il tasto dx, opzione Delete.
5-Avviate AgVPFix e indicategli come percorso quello dell’eseguibile del servizio disabilitato; lì troverete più files di colore verde: sono l’eseguibile del servizio e i file di scorta se questo viene in qualche modo corrotto, quindi, uno ad uno eliminateli tutti. Con questa operazione dovrebbe essere automaticamente eliminata anche la cartella dell’utente nascosto, ma per sicurezza controllate in Document and Setting, ed eventualmente cancellatela
6-(Questo passaggio potrebbe probabilmente essere saltato: ma a me sapere di avere avanzi di schifezze in giro dà fastidio: in fondo bastano 5 minuti). Avviate RegSeeker ed utilizzando la funzione “cerca files inutili”, e selezionando tutte le HK inserite nella stringa di ricerca, (uno per volta), il nome utente, il nome del servizio, e quello dei file fixati con HJT, selezionando e cancellando quanto trovate (attenzione che se i nomi che cercate sono molto corti potreste trovare voci che li contengono ma con i quali non hanno niente a che fare: se cerco l’utente Epo non si deve cancellare “Reposity” ma solo quanto troviamo come epo, inteso come parola a sè)
7-Cercate anche in C:\Programmi o C:\Program Files se c’è la cartella del LinkOptimizer e cancellatela: non cercate mai di disinstallare il malware da Installazione Applicazioni: se lo trovate lì (ma potrebbe chiamarsi anche Connection Service e adesso Power Verify, StrongestGuard o ConnectionKnight), usate MyUninstaller per rimuoverlo, utilizzando la funzione Delete Entry, e successivamente eliminate la cartella se esistente
8-Adesso dobbiamo cercare il file invisibile: aprite Gmer e lanciate lo scan dal Tab Rootkit, e fate un copia/incolla nel Blocco Note dei percorsi dei files che trova nascosti (nel mio caso C:\Windows\beedg1.dll e C:\Windows\System32\com7.yyt)
9-Aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di ingrandimento: nella finestra di input fate un copia/incolla di queste righe:

Registry values to replace whit dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\windows\beedg1.exe
C:\Windows\System32\com7.yyt

sostituendo i miei percorsi con quelli che avete annotato prima dalla scansione con Gmer.
Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Controllate dal log che appare al riavvio che tutto lo script sia andato a buon fine, riaprite AgVPFix e cancellate i files all’interno della cartella C:\Avenger, che sono i backup dei files invisibili.
10-Infine riavviate HijackThis, perchè è possibile che il/i files invisibili compaiano adesso alla voce O20 del log: fixateli normalmente e riavviate, perchè di fatto Gmer e RootkitReleaver non li troveranno più

LA PROCEDURA E' STATA TESTATA SU WINDOWS XP

INFO VARIANTI: SEGUITE LA GUIDA FINO AL PUNTO 4, POI BASATEVI ANCHE SU QUANTO SEGUE

_VARIANTE N.2_
Dopo la segnalazione che la guida pareva non funzionare su Windows 2000, ho installato questo S.O.al volo e reinfettato con lo stesso google.com che avevo usato prima + quello downlodato dal sito che ho indicato nella guida; sembrava che avesse preso solo un Trojan Downloader poichè nel log di HJT compariva in avvio automatico un O4 - Startup: w32.exe + c'era la solita .dll (missing)(tipo O2 - BHO: Class - {7E6C0D95-16BB-CCCE-4338-1AF028A72D82} - C:\WINDOWS\hwfep1.dll (file missing) in un BHO (che sappiamo non fa testo): nient'altro, niente utenti e servizi. Avevo rallentamenti nel sistema e l'impossibilità di scrivere in qualsiasi form (infatti non potevo usare google)
Ad un ulteriore riavvio però, w32.exe era scomparso, (come google.com che si autodistrugge dopo l'esecuzione), era sparita la .dll (missing) mentre era comparso in esecuzione automatica un .exe in \Temp (tipo O4 - HKLM\..\Run: [ttwxa1.exe] C:\WINDOWS\TEMP\ttwxa1.exe) (tutti ovviamente con nomi random) A quel punto c'era anche tutto il resto, utente random, servizio protetto e il file protetto del servizio, ma in C:\Programmi\File Comuni\Services: l'altra nota è che il servizio, nel suo file eseguibile portava estensione [random].exe:$EFS.
-Gmer, Avenger, IceSword non si avviavano neanche; funzionava solo il Sophos, con il quale ho cancellato il servizio e riavviato
-Con AgpFix ho cancellato il file nella cartella File Comuni\Services che però è scomparso solo al reboot, e da qui poi ho eliminato l'utente....
-Non ho potuto controllare files "hidden" perchè nessun programma antirootkit funziona
A quel punto però ho pensato che forse era meglio riprovare con Windows XP, ho ripristinato la vecchia immagine di XP e l'ho reinfettata nel solito modo, per studiare quel w32.exe... (vedere anche aggiornamento del 01.09.2006)

_Variante 3_
Di bene in meglio: stavolta, nel log di HJT non c'è NIENTE, mentre sono subito presenti utente random, servizio protetto e i files protetti del servizio che sono tornati in C:\Programmi\File Comuni\System ma hanno quella nuova estensione :$EFS
Avenger, Gmer, Blacklight e IceSword non funzionano; Sophos rileva i files protetti ma avvisa su alcune mancanze di privilegi: l'unico che funziona è AVG Rootkit, ma poverino non ha mai trovato niente in questi giorni di esperimenti.
-Dopo un riavvio il file associato al servizio si è autosostituito.
-Ho eliminato i files protetti con AgpFix (al reboot), a quel punto è scomparso da solo utente e servizio;
-Ho ripulito cercando nome per nome con Reegseeker, ma, al solito non è possibile andare oltre perchè i programmi non rispondono (vedere anche aggiornamento del 01.09.2006)

^Top^