Come avevo anticipato negli scorsi giorni, alcuni impegni mi stanno portando via molto tempo durante questa settimana ed è possibile che non riesca ad aggiornare il sito costantemente.
É stata identificata un’altra variante del Rootkit.DialCall. Solita procedura di infezione sostanzialmente, cambiato il dropper winsys.exe in modo tale da eludere molti software antivirus. Cambiato anche il nome della dll che viene installata sotto la directory di Windows, ora denominata svhost.dll.
Per ora è ancora possibile la rimozione manuale per mezzo di GMER, come indicato precedentemente, seguendo i seguenti punti:
– Lanciare GMER, comparirà una schermata dove avverte che sono state trovate anomalie nel sistema (GMER has found system modification […]). Non effettuare la scansione immediatamente. Muoversi alla voce in alto denominata “>>>” e poi SERVICES;
– eliminare il servizio denominato pe386 che fa riferimento alla locazione //??/C:WINDOWSSystem32:lzx32.sys. Per fare ciò, fare click con il tasto destro del mouse e fare “delete service“. Dare OK nei messaggi successivi. Verrà mostrato un errore nella rimozione del file, mentre il servizio verrà rimosso tranquillamente;
– Lanciare il registro di sistema (regedit) e muoversi alla chiave di registro HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun, eliminare il valore 1 = Winsys.exe;
– riavviare il PC. Al successivo riavvio eliminare manualmente i file svhost.dll e winsys.exe presenti sotto la directory di Windows (C:WINDOWS) e rilanciare GMER. Muoversi come sopra indicato, solo che invece di cliccare su Services cliccare su Rootkit. Fare una scansione spuntando solo la casella “files” e “ADS“. Verrà trovato un file nascosto negli ADS in C:WINDOWSSystem32:lzx32.sys. Fare click con il tasto destro e fare Delete File;
– controllare nel task manager la presenza di un processo denominato it_0xxx.exe (dove xx sono numeri casuali). Se presente, terminarlo ed eliminare il file it_0xxx.exe presente sotto la directory nascosta dei files temporanei (C:documents and settings
– eliminare la chiave di registro HKEY_LOCAL_MACHINESOFTWARE5T29L1D34B;
SE Gmer per qualche motivo dovesse mandare in crash il sistema, è possibile utilizzare AVG AntiRootkit che riesce a rimuovere il file lzx32.sys (Rustock.B). La scelta di AVG AntiRootkit è stata fatta valutando un fattore di semplicità d’uso ed efficacia nella rimozione di questo rootkit. Ciò non significa ovviamente che altri antirootkit non riescano a rimuoverlo, ma semplicemente che per l’utenza media l’utilizzo di questo scanner tra quelli che rimuovono Rustock.B è più immediato.
– Installare AVG AntiRootkit, riavviare il sistema e lanciare una scansione. Il software troverà due files, lzx32.sys e winsys.exe. Selezionarli e cliccare su Remove selected items. Il pc verrà riavviato.
– Al successivo riavvio, come indicato nelle istruzioni sopra indicate, eliminare manualmente il file svhost.dll e il file it_0xxx.exe e le chiavi di registro;
– Per eliminare totalmente il file lzx32.sys presente nell’ADS è possibile utilizzare l’ottimo tool di Paolo Monti scaricabile da QUI.
Purtroppo il tempo a disposizione durante questi giorni è molto ridotto, per cui – sebbene in teoria il tool automatico per la rimozione sarebbe anche pronto – lo sviluppo rientra in alcuni progetti più grandi che mi stanno portando via ore. Inoltre, con questa ultima variante, dobbiamo riadattare leggermente l’euristica per l’individuazione di questo nuovo sample.
Per maggiori informazioni, è possibile leggere delle news precedenti QUI
Auguro a tutti una buona serata,
Marco
grazie delle dritte per riuovere questo malware. 🙂
ho torvato questo removal tool per le varianti di rustock a, e c
http://greatis.com/security/Rustock(lzx32.sys)_free_removal_tool.htm
scusate il commento consecutivo ma rimuove anche la versione b 😉
La mia infezione è questa ma il SO è ME e i tool AVGAntirootkit, GMER girano solo su XP. Prevx1 non gira perchà fa riferimento ad un pezzo di kernel che gli manca.
Ho tolto tutto quello che c’era da togliere, ma mi manca di eliminare il servizio pe386 e lo ADS lzx32.sys
Potete indicarmi dove trovare un tool per ME? Potete indicarmi dove trovare cosa sono i servizi e gli ADS (per mia cultura e dei lettori)?
Il firewal di Norton permette di indicare intervalli di indirizzi da bloccare? La protezione -> restrizioni -> siti, nelle opzioni di internet non fa lo stesso?
Ho trovato tracce (a livello di codice ascii) di svhost nei file .dbx in entrata e uscita e li ho isolati. Rischio di infettare se li apro o uso la posta?
Grazie per le risposte e scusate l’ignoranza
Scusa la domanda stupida, ma sei sicuro che la partizione dove tieni il sistema operativo sia NTFS e quindi abbia la gestione degli ADS?
Perché, per carità può essere una lacuna mia, ma io sapevo che Windows 9x/ME non supporta NTFS nativamente , soprattutto comunque sul disco che contiene il sistema operativo. Esistono tool per fargli vedere dischi NTFS per condividere dati.
Sei sicuro che lzx32.sys non è sottoforma di file? Perché in caso puoi partire da DOS e eliminarlo da lì.
Grazie Marco per l’interessamento.
Parto dall’inizio. ME ha cominciato a dare errori (explorer, mmtask, ecc.)con SVHOST durante l’avviamento. Al termine una volta su due il sistema non permetteva di accedere a start-bar e a find. In provvisoria invece tutto regolare. Inizialmente ho trovato un windowssvhost.dll che si riformava ogni volta che lo cancellavo. Poi ho trovato il winsys.exe. Tolto questo, svhost non si è più riformato e ME parte ora regolarmente. Però ho problemi con Norton che da errori quando lo lancio ed inoltre quando accedo alla rete non riesco più a scaricare (ho provato a fare uno scanning on-line di panda o a mettere a posto on-line Norton, ma explorer si blocca). Viceversa come chiudo explorer, parte in background iexplorer e se sono connesso non ho idea cosa ci faccia, ma mi piace poco.
Guardando tra i registri ho trovato non solo quello che richiama winsys.exe, ma anche il HKLM Software5T29L1D34B e li ho eliminati.
Per quanto riguarda gli altri file qui descritti, non ricordo se c’era l’it_0xxx.exe o se l’ho eliminato quando ho scoperto l’infezione , ma ora non c’è più. Ho provato a cercare lzx32.sys in provvisorio ma non esiste. Effettivamente, lo scan di Hijackthis sugli ADS, mi dice che il sistema non supporta gli NTFS. Mi sembra di capire che riguardano solo XP?
Ho pensato di avere l’infezione che qua descrivete, ma forse è una variante diversa? Fatta per 98x/ME?
Da Hijackthis sembra che non ci sia niente. Ho già passato il sistema con Spybot, AV-CLS senza risultati. Sulla rete ho trovato solo questo sito che riporta un’infezione simile.
Sotto DOS, lzx32.sys se esistesse dovrebbe essere nella cartella windowssystem32?, perchè li non l’ho trovato.
Alla data presunta dell’infezione ho trovato i seguenti file strani:
windowssystemeid.exe
windowsapplogregenv32.~~c
windowsapplogikernel.lgd
EID.exe l’ho isolato in una cartella a parte, gli altri sono ancora lì.
mamma mia grazie! sono due giorni che cercavo di capire perchè quando avviavo un gioco mi si riavviava tutto e grazie a te sono riuscito a eliminare(spero definitivamente)HUY32.sys la nuova derivazione che mi sono beccato non so nemmeno come. Mi è bastato cancellare il servizio con GMER e poi quando gli ho detto di cancellare il file mi ha detto che non si poteva, in ogni caso al successivo riavvio non me l’ha più trovato con lo scan, nè con GMER nè con AVG antirootkit. Non ho nemmeno trovato i file nel registro di sistema nè nelle cartelle di windows e system32. Per questo spero che non si rifaccia vivo o si autorigeneri. In ogni caso MILLE GRAZIE!!
Ciao,
con IE 7 ed xp aprendo explorer mi propone come homepage
italian.ircfast.com.
Ho eseguito le varie strade proposte ma nulla …..
un aiutino?
… non va nemmeno prevx1 … trova qualcosa (come tutti i provati) ma la home page resta sempre italian.ircfast.com.
… nel frattempo hanno fatto restilyng del sito …
Ciao,
SpyBot aggiornato il 13/4 mi ha risolto il problema.
Grazie a tutti
ho provato in tutti e tre i modi ma nn funziona niente: l’home page è sempre italian.eazol…
Come faccio?!?!?!?!?!?!?!?!?!??!?x favore aiuto!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ascolta io non ho effettuato la chiamata ma ho comunque scaricato il programma inserendo al posto del codice il “serial” perche pensavo fosse quello il codice richiesto..
Adesso l’home page quando apro internet è italian.eazel
Quello che voglio sapere è: visto che non ho effettuato la chiamata il servizio e attivo? Se si come faccio a cancellarlo?
(ho provato i vostri suggerimenti: ho usato germ, avg, e l’altro ma non hanno trovato niente)..
Vi prego di risondermi al piu presto!Vi prego!rispondeteeeeeee!!!
HO RISOLTO CON SPYWARE DOCTOR