Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] Kamsoft.exe

(

Topic Chiuso)

Altre pagine della discussione:

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.411 - Postato: 08/Dicembre/2008 alle 19:52

Ancora molte grazie per la pazienza...
Non è stato trovato in C: alcun file cirillo.old, da windows. In C: ho solamente un file NTDETECT.COM tra quelli nascosti, per quanto riguarda similarità di estensione con quelli che mi hai elencato.
Il log di Gmer è:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-12-08 19:50:20
Windows 5.1.2600 Service Pack 2

**********************************
log editato.. nessun rootkit
**********************************

Modificato da prgn - 03/Marzo/2009 alle 21:03

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.414 - Postato: 08/Dicembre/2008 alle 22:29

Scarica nuovamente ComboFix
Dal link che ti ho dato copiati anche le istruzioni per usarlo (solo fino alla generazione del LOG)
Scarica Avenger

Riavvia nuovamente il computer in modalità provvisoria... ed esegui nuovamente solo i passaggi precedenti che sono indicati sotto...

Postato originariamente da Spfx

- Riavvia il computer in modalità provvisoria
- Assicurati che sia disabilitato il "Ripristino di configurazione di sistema"
- Avvia HiJackThis, ma questa volta premi il pulsante "Do a system scan only"
- Dopo la scansione metti la spunta alla seguente riga:

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

- Premi il tasto "Fix checked"
- Esegui CCleaner, premi a sinistra la pagina "Registro" e fai una pulizia completa del registro (anche più volte ... finchè non trova più errori)
- Poi passi alla pagina Opzioni, clicca su "Avanzate" e assicurati che sia tolta la spunta su "Cancella file in Windows Temp solo se più vecchi di 48 ore"
-Passa quindi alla pagina "Pulizia" e metti la spunta sull'opzione "Vecchi dati Prefetch" sotto "avanzate".
Mi raccomando che sia spuntata solo quella, se si spuntano le altre opzioni ... toglile.
- Avvia la pulizia

Poi esegui Combofix seguendo le istruzioni del link che ti ho dato per scaricarlo (Disattiva il firewall e l'antivirus momentaneamente)
Segui le istruzioni per usarlo e fermati alle istruzioni che indicano la posizione del LOG (C:\Combofix.txt)
Mi raccomando ... lascialo andare senza fare niente ... finchè non ha finito.

Disabilita nuovamente il ripristino di configurazione di sitema se si è attivato dopo la scansione con ComboFIX

Avvia Avenger e copia e incolla dentro la lista bianca la seguente sequenza di comandi (...le 8 righe qui sotto, nel riquadro):

Segue del testo riportato...

Files to delete:
C:\WINDOWS\system32\cirillo.exe
C:\WINDOWS\system32\cirillo.old
C:\WINDOWS\cirillo.exe
C:\WINDOWS\cirillo.old
C:\autorun.inf
Folders to delete:
%temp%

Fine testo riportato...

Premi il tasto "Execute" e ti verrà chiesto di riavviare il computer.

Dopo il riavvio (in modalità normale) verrà aperto il Blocco Note con il file LOG di Avenger

Posta il LOG di ComboFIX (C:\Combofix.txt)
Posta il LOG di Avenger
Posta un nuovo LOG di HiJackThis

... e dicci se la precedente scansione con GMer segnava nella lista delle voci in Rosso.

Ciao.

Modificato da Spfx - 08/Dicembre/2008 alle 22:54

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.425 - Postato: 09/Dicembre/2008 alle 17:29

Ecco i tre log, sembra che il Pc sia pulito , ma il mio cirillo.old(vecchio kamsoft.exe) è sempre li.Mi chiedo, sarà solo un moncone di un rootkit ormai inattivo?Intanto grazie mille!

ComboFix 08-12-07.04 - utente 2008-12-09 17.07.46.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.1783 [GMT 1:00]
Eseguito da: c:\documents and settings\utente\Desktop\ComboFix.exe
.

((((((((((((((((((((((((( Files Creati Da 2008-11-09 al 2008-12-09 )))))))))))))))))))))))))))))))))))

**********************************
log editato.. non è stato rilevato nulla
**********************************

160 --- E O F --- 2008-12-05 23:15:08

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opexxd successfully.
Script file read successfully.

Backups directory opexxd successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\cirillo.exe" not found!
Deletion of file "C:\WINDOWS\system32\cirillo.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\cirillo.old" not found!
Deletion of file "C:\WINDOWS\system32\cirillo.old" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\cirillo.exe" not found!
Deletion of file "C:\WINDOWS\cirillo.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\cirillo.old" not found!
Deletion of file "C:\WINDOWS\cirillo.old" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: "C:\autorun.inf" is a folder, not a file!
Deletion of file "C:\autorun.inf" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Folder "C:\DOCUME~1\utente\IMPOST~1\Temp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.24.25, on 09/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

**********************************
log editato.. ho rimasto solo la voce infetta
**********************************

--
End of file - 5619 bytes

Modificato da prgn - 03/Marzo/2009 alle 21:09

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.450 - Postato: 10/Dicembre/2008 alle 16:14

Non so se sia un semplice rimasuglio del malware ... il fatto che non riusciamo a togliero dal registro ...e/o che questo sia dovuto alla modifica fatta con "Regrun"... e poi c'è un'altra cosa saltata fuori dai log.

Ho notato che in C: hai una cartella "Autorun.inf" ... mi aspettavo che ci fosse un file.
Ora ... non so se hai creato tu questa cartella oppure hai usato qualche programma che l'ha creata.
Creare una cartella "AutoRun.inf" in C: è anche un sistema che può aiutarti a proteggere il SO da questo tipo di infezione...

Ascolta .. ti posto la procedura completa per la rimozione manuale di questo Trojan/Backdoor.
'E comprensiva di alcune varianti del file ... che probabilmente non avrai ... ma è meglio "abbondare"
Ti aggiungo anche un'altro tool di rimozione da scaricare (che forse hai già installato, ho visto delle tracce del programma ...)

Non usare ancora chiavette USB e altri dispositivi esterni... perchè potrebbero essere infette.
Poi vediamo come controllarle ...

Cominciamo:

Scarica Malwarebytes Anti-Malware (... se non l'hai già fatto), installalo e aggiorna la definizione del database.

Per scaricarlo premi il tasto Download (verde) dal link che ti ho dato.
(... la differenza principale tra il programma gratuito e quello a pagamento è la mancanza del controllo in realtime)

Segui i soliti passaggi:

- Riavvio del computer in "Modalità provvisoria" (... tasto F8 dopo l'avvio)
- Verifica che sia disabilitato il "Ripristino di configurazione di sistema"
Deve essere presente la spunta su "Disattiva Ripristino configurazione di sistema"
'E importante che sia disabilitato ... altrimenti "HiJackThis" potrebbe non avere effetto.
- Avvia "HiJackThis" e premi il tasto "Do a system scan only"
Dopo la scansione metti la spunta alle seguenti voci (... sempre se esistono):

    O4 - HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe
    O4 - HKCU\..\Run: [avp] c:\WINDOWS\system32\avp.exe
    O4 - HKCU\..\Run: [amva] c:\WINDOWS\system32\amvo.exe
    O4 - HKCU\..\Run: [kxva] c:\WINDOWS\system32\kxvo.exe
    O4 - HKCU\..\Run: [kava] c:\WINDOWS\system32\kavo.exe
    O4 - HKCU\..\Run: [tava] c:\WINDOWS\system32\tavo.exe
    O4 - HKCU\..\Run: [TaskMonitor] c:\WINDOWS\system32\TaskMonitor.exe
    O4 - HKCU\..\Run: [Realshade] c:\WINDOWS\system32\realshade.exe
    O4 - HKCU\..\Run: [cftmonn] c:\WINDOWS\system32\cftmonn.exe
    O4 - HKCU\..\Run: [kamsoft] c:\WINDOWS\system32\kamsoft.exe
    O4 - HKCU\..\Run: [kamsoft] c:\WINDOWS\system32\cirillo.old

- Premi il tasto "Fix checked".
- Avvia "Malwarebytes Anti-Malware" e dalla pagina principale "Scansione" seleziona l'opzione "Effettua una scansione completa"
- Premi il pulsante "Scansiona".
Attendi che venga completata la scansione e metti in Quarantena tutti gli oggetti malevoli rilevati.
- Salva sul harddisk il report finale che verrà aperto a fine scansione.
- Avvia "CCleaner" e fai la Correzione completa del registro + Pulizia (come ti avevo indicato nei post precedenti)
- Avvia "Avenger" e copia al suo interno queste righe...

Segue del testo riportato...

Files to delete:
c:\windows\system32\ckvo.exe
c:\windows\system32\ckvo0.dll
c:\WINDOWS\system32\avp.exe
c:\WINDOWS\system32\amvo.exe
c:\WINDOWS\system32\kxvo.exe
c:\WINDOWS\system32\kavo.exe
c:\WINDOWS\system32\tavo.exe
c:\WINDOWS\system32\SCVVHSOT.exe
c:\WINDOWS\system32\TaskMonitor.exe
c:\WINDOWS\system32\realshade.exe
c:\WINDOWS\system32\cftmonn.exe
c:\WINDOWS\system32\wincab.sys
c:\windows\system32\gasretyw0.dll
c:\windows\system32\kamsoft.exe
c:\WINDOWS\system32\cirillo.old
C:\autorun.inf
Folders to delete:
C:\autorun.inf
%temp%

Fine testo riportato...

- Premi il tasto "Execute" per iniziare la procedura.Accetta le richieste di conferma e il PC verrà riavviato ...
- Dopo il riavvio esegui un'altra scansione Con "GMer", e verifica se alla fine ci sono delle voci in rosso.

Alla fine posta:

- Un nuovo LOG di "HiJackThis"
- Il LOG di "Malwarebytes Anti-Malware"
- Dicci soltanto se "Gmer" a rilevato voci in rosso e, se si, quali ... (... non serve che posti il log di GMer per il momento)
- Verifica se sotto c: esiste (...o si è rigenerato) un file e/o una directory con il nome "Autorun.inf"

Ciao.

PS
Abbi pazienza se posso sembrarti ripetitivo su alcuni passaggi ... ma sono necessari ...

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.461 - Postato: 10/Dicembre/2008 alle 18:20

OOk, la cartella è autorun.inf è stata cancellata, ma era stata creata da regrun 5. Per quanto riguarda i logs eccoli:

Malwarebytes' Anti-Malware 1.31
Versione del database: 1482
Windows 5.1.2600 Service Pack 2

10/12/2008 17.58.56

**********************************
log editato.. nessun oggetto rilevato
**********************************

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.09.49, on 10/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

**********************************
log editato.. ho rimasto solo la voce infetta
**********************************

--
End of file - 5632 bytes

In autorun mi segnalava protezione dai dispositivi flash-drive.La ripristino?Gmer non trova nulla che non va. Mi rimetto al vostro giudizio, questo malware è debellato secondo voi?

Modificato da prgn - 03/Marzo/2009 alle 21:12

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.519 - Postato: 12/Dicembre/2008 alle 15:37

Ciao Choppaz

Riattiva pure la funzione di "Regrun" se è stato lui a creare la cartella "Autorun.inf" (... io non conosco "Regrun" però, come ti dicevo nel post precedente, creare questa cartella è anche un sistema per proteggersi da questo tipo di malware).

Vorrei dare un'occhiata ad una porzione del registro di Windows che dovrebbe contenere la chiave che non riusciamo a cancellare.

Fai così:
Start->Esegui...-> ...e nella casella apri digita "regedit" (senza virgolette) e premi il pulsante "Ok"
Si avvierà l'editor di registro di sistema.

Sulla parte sinistra dell'editor di registro apri le seguenti cartelle:

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

Cliccando sull' ultima cartella "Run" a destra dovrebbero comparire una serie di nomi di file, tra cui anche il nostro "Kamsoft".

Seleziona la cartella "Run" in modo che sia evidenziata, clicca sopra con il tasto destro del mouse e dal menu a tendina seleziona "Esporta"
Ti verrà chiesto di dare un nome al file da salvare e dove salvarlo.
Salvalo sul desktop e dagli ad esempio il nome "Backup" (oppure un nome che vuoi tu).
Dopo averlo salvato chiudi l'editor di registro per il momento.

Sul desktop dovresti avere un file con estensione .reg.
Premi con il tasto destro del mouse sopra il file e dal menu seleziona "Modifica"
Si aprirà il blocco note di Windows con all'interno le voci di quella parte del registro.
Copia e incolla il contenuto nel prossimo post.

Ciao.

PS
' E buona cosa che GMer non abbia indicato niente Wink

... quello che vorrei capire è se non riusciamo a cancellare quella chiave per questione di privilegi/permessi oppure se c'è qualcosa che la sta rigenerando.

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.602 - Postato: 16/Dicembre/2008 alle 20:08

Okkei tutto fatto:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programmi\\Spybot - Search & Destroy\\TeaTimer.exe"
"kamsoft"="C:\\WINDOWS\\system32\\cirillo.old"

Avevo un esame e nn ho risposto subito, scusate.

Attendo risposta grazie mille. Smile

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.603 - Postato: 16/Dicembre/2008 alle 22:26

Ciao Choppaz ... nessun problema... Wink

Ho modificato il file .reg ... eseguendolo dovrebbe cancellarti le righe contenute in quella porzione di registro.
In quella porzione di registro non hai servizi essenziali al sistema.
Poi con un'altro file .reg ricreiamo la parte buona del registro.

Fai così:
In modalità normale apri il Blocco Note di Windows.
Copia e incolla le righe contenute nel riquadro qui sotto:

Segue del testo riportato...

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kamsoft"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

Fine testo riportato...

Verifica che siano esattamente come nel riquadro sopra, poi salva il file sul Desktop (dagli un nome che vuoi, ad esempio Rimozione.reg)
Mi raccomando di specificare l'estensione finale .reg ... (che deve essere messa al posto di *.txt)
Salvato il file, chiudi il Blocco Note ... sul desktop dovresti avere il file "Rimozione.reg"

Assicurati che il Ripristino di configurazione di sistema sia disattivato.

Esegui il file con un doppio clic sx del mouse.
L' Editor di Registro di sistema ti chiederà se vuoi aggiungere i dati contenuti in quel file.
Premi "Si" e le modifiche verranno effettuate.

Riavvia il computer.

Posta il nuovo LOG di HiJackThis.

Choppaz
Principiante

Iscritto dal : 08/Dicembre/2008
Da: Italy
Status: Offline
Posts: 12

Topic: Post n° 85.616 - Postato: 17/Dicembre/2008 alle 19:07

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.06.23, on 17/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\cirillo.old

**********************************
log editato.. ho rimasto solo la voce infetta
**********************************

--
End of file - 5907 bytes

Ecco fatto, sono nelle tue mani ora, ho esaurito le idee francamente... a presto.

Modificato da prgn - 03/Marzo/2009 alle 21:13

Spfx
Apprendista

Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729

Topic: Post n° 85.622 - Postato: 18/Dicembre/2008 alle 00:36

... va beh ...la riga c'è ancora .
... e che non volevo farti modificare direttamente il Registro di Windows.
A questo punto farei un ultimo tentativo di cancellazione manuale ... se te la senti.

Avvia nuovamente l'editor di registro.
Sulla parte sinistra dell'editor di registro apri le seguenti cartelle:

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

Cliccando sull' ultima cartella "Run" a destra dovrebbero comparire la chiave "Kamsoft"... che dovrebbe essere l'unica rimasta.

Sulla parte destra seleziona "Kamsoft" con il tasto sinistro del mouse, premi il tasto Canc e ti verrà chiesto se vuoi eliminare il valore selezionato. Conferma la cancellazione.
Chiudi l'editor di registro, poi riavvialo nuovamente e verifica che non si sia già riformata la chiave.

Riavvia il computer.

Apri nuovamente l'Editor di registro di Windows e verifica nuovamente se si è riformata la chiave.

Facci sapere come è andata.

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Kamsoft.exe

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Kamsoft.exe

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !