Gromozon Rootkit

Gromozon Rootkit

Gromozon-Antirootkit

Trojan.Linkoptimizer Removal Tool

Gromozon Rootkit Removal Tool

da der rootkit eventuell den Download von der Originalseite verhindert: B43DF26.zip laden

Gromozon Rootkit Removal Tool

* Downloade das Gromozon Rootkit Removal Tool von Prevx1.
* Speichere es auf dem Desktop.

boote in den abgesicherten Modus (F8 druecken, wenn der Rechner bootet)

* Beende die Anwendung des Antivirus Programms.
* Beende alle Anwendungen, schliesse alle Fenster.
* Starte das Programm mit Klick auf scan:

Gromozon Rootkit

* Wenn das Programm zuende gescannt hat,
* wird man um OK gebeten , damit der Rechner neu aufstarten kann.
* Nach dem Neustart des Rechners , scannt das "Gromozon Rootkit Removal Tool" das System weiter.

* Es erstellt einen Bericht, das 'gromozon_removal.log'.

Suche das gromozon_removal.log mit der Windows Suche, (im Forum) kopiere seinen Inhalt und poste ihn.

Beende das Programm mit exit.

Nun wird man gefragt, ob man Prevx1 als AntiVirus Programm installieren möchte, eine Frage, die man mit YES (ja) oder NO (nein) beantworten muss.

Beispiel:

Gromozon Rootkit
Launching Scan
Removing rootkit file...
Gromozon rootkit component not detected - searching for other components
Scanning: C:\Programme\Gemeinsame Dateien
Scanning Windows Directory...Scanning Temporary files...
Trojan.Gromozon Removed!
Scan finished normally
For a detailed log, please refer to \gromozon_removal.log
C:\WINDOWS\tdjeq1.dll is infected with Adware LinkOptimizer

Scanning Windows Directory...
C:\WINDOWS\3.tmp is infected with Adware LinkOptimizer
C:\WINDOWS\bcxmx1.del is infected with Adware LinkOptimizer
Searching for EFS service files...
Trojan.Gromozon Removed!

GROMOZON Rootkit Entfernung http://forum.hijackthis.de

Prevx1 http://www.hijackthis-forum.de

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000000

HijackTHis * R3 - Default URLSearchHook is missing * O2 - BHO: Class - {CLSID casuale} - C:\WINDOWS\[random 5 lettere]1.dll (file missing) * O2 - BHO: Class - {CLSID casuale} - C:\WINDOWS\[random 2 lettere]aa.dll (file missing) * O4 - HKLM..Run: [[random 4 lettere]1.exe] C:\WINDOWS\Temp\[random 4 lettere]1.exe * O4 - Startup: w32.exe * O16 - DPF: {CLSID casuale} - http://td8eau9td.com/a33ed837/50310/1/xp/FreeAccess.ocx * O23 - Service: [Random] - Unknown owner - \?C:\Programmi\File comuni\System\[random].exe (file missing) * Java exploit Byte.Verify, easily detected by almost every antivirus software (on Internet Explorer 5): * An ActiveX called FreeAccess.ocx that needs user permission to be installed; * www.google.com on which we'll dedicate a full paragraph; * img.tif, a WMF exploit that downloads some malware from the server (in case you still need some more malware The dropper connects to a remote server, 195.225.177.22 Windows Service Immediately after the dropper is launched, a new - fake - user account is created in Windows with a random name and a random password. After the new user account is created, a directory under C:\Dokumente und Einstellungen with the same name as the new account is created. After this, a new file is created under C:\Programme\Common Files\system\ C:\Programme\Common Files\Microsoft Shared\ This file has a random name and random size. It is encrypted using the Windows Encrypting File System (EFS) feature so that only the fake account has rights to it, preventing any other user from moving, reading, or deleting it. The file can be recognized because it is marked with a green colour. C\Programme\Gemeinsame Dateien\System\aXH.exe C\Programme\Gemeinsame Dateien\System\cMF.exe Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\ dir "C:\Programme\Gemeinsame Dateien" >>files.txt dir "C:\WINDOWS\Downloaded Program Files" >>files.txt dir "C:\Programme\Common Files\system" >>files.txt dir "C:\Programme\Common Files\Microsoft Shared" >>files.txt dir "C:\Programme" >>files.txt notepad files.txt

ServiceFilter.zip



ADSSpy.exe

- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der Scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk

If you want to see the ADS features of the NTFS file system, you can click on Start - Run and write this command:

notepad C:\autoexec.bat:mytest.txt

After this, the rootkit removes the SeDebugPrivilege privilege to all Windows user accounts. This will prevent some anti-rootkit programs from running - for example, the F-Secure BlackLight

To remove the infection caused by W32/Agent.VP - the Windows service - it is possible to use a cleaner developed by Paolo Monti : AGVPFIX.zip

If you have a file called:
com4.gip

and try to do
del C:\com4.gip
you will receive an error because you can't access this file as it uses a reserved name, but if you try to do:

del \\.\C:\com4.gip

del \\.\C:\com7.fdn

del \\.\C:\WINDOWS\System32\com7.fdn

Executing rootkit removal engine....

Fehlermeldung:



Start -> Ausführen -> cmd.exe
In der Konsole wechsele nach C:\

Start -> Ausführen -> cmd.exe

cd c:\

Disabling rootkit file: \\?\C:\WINDOWS\System32\com7.fdn
\\?\C:\WINDOWS\System32\com7.fdn
Resetting file permissions...

Host - weiter

C:\WINDOWS\System32\drivers\etc\

127.0.0.1 aagxgbdlztw.com
127.0.0.1 mioctad.com
127.0.0.1 cvoesdjd.com
127.0.0.1 mufxggfi.com
127.0.0.1 e-46.com
127.0.0.1 ou2dkuz71t.com

more websites are blocked. Moreover, the rootkit tries to block removal tools developed to remove the infection.
An incomplete list of blocked tool is below:

Symantec Fix LinkOptimizer;
GMER antirootkit;
AVG Antirootkit;
Sophos Antirootkit;
F-Secure BlackLight;
The Avenger;
IceSword Antirootkit;

HijackTHis

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {2379CF7C-4F56-CF5B-D132-D5430E7F9697} - C:\WINDOWS\ggilq1.dll (file missing)
O2 - BHO: Class - {20B632D1-BD22-2A3D-A98F-C12FA12AB963} - C:\WINDOWS\hfxkc1.dll (file missing)
O2 - BHO: Class - {8327DE87-F0B2-93DA-9083-CE5CF669572D} - C:\WINDOWS\ljded1.dll (file missing)
O2 - BHO: Class - {E92D9C09-4312-C8DC-BABF-368545329431} - C:\WINDOWS\wxynh1.dll (file missing)
O2 - BHO: Class - {E124AB30-63A9-096C-E96D-1FECC8D2CAA4} - C:\WINDOWS\hcjyu1.dll (file missing)
O2 - BHO: Class - {5CBC8F1D-3BA8-1ADF-A09E-A812352EDA81} - C:\WINNT\hlsva1.dll (file missing)
O2 - BHO: Class - {A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} - C:\WINDOWS\naelq1.dll (file missing)

O2 - BHO: Class - {184726FC-0A5F-1C4B-02D0-96C8A7EC9D84} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)
O2 - BHO: Class - {DD008334-E6F3-22FE-05AE-255B2E4E2CF5} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)

O16 - DPF: {FAD1CBC8-8F6A-4E94-9DDC-825A0D92B35C} - http://gromozon.com/9a9483ec/10002/1/xp/FreeAccess.ocx

C:\WINDOWS\Downloaded Program Files\FreeAccess.ocx - Infected: Trojan.Win32.Small.jf

C:\WINDOWS\18.tmp - AdWare.Win32.LinkOptimizer.a
C:\WINDOWS\19.tmp - AdWare.Win32.LinkOptimizer.a
C:\WINDOWS\1C.tmp - AdWare.Win32.LinkOptimizer.a
C:\WINDOWS\1E.tmp - AdWare.Win32.LinkOptimizer.a
C:\WINDOWS\1F.tmp - AdWare.Win32.LinkOptimizer.a
C:\WINDOWS\F.tmp - AdWare.Win32.LinkOptimizer.a skipped

C\Programme\Gemeinsame Dateien\System\aXH.exe
C\Programme\Gemeinsame Dateien\System\cMF.exe
C\Programme\Gemeinsame Dateien\System\cYef.exe
C\Programme\Gemeinsame Dateien\System\eCEzlv.exe
C\Programme\Gemeinsame Dateien\System\jLn.exe
C\Programme\Gemeinsame Dateien\System\ovM.exe

To remove the infection caused by W32/Agent.VP - the Windows service: AGVPFIX.zip



e:\Programme\aww.exe Access denied
e:\Programme\fNQU.exe Access denied
e:\Programme\HxVCJvLQy.exe Access denied
e:\Programme\qurWSsqf.exe Access denied
e:\Programme\sbKu.exe Access denied
e:\Programme\UVqNShst.exe Access denied
e:\Programme\vN.exe Access denied
e:\Programme\XIJv.exe Access denied

--------

E:\Programme\Java\jre1.5.0_06\bin\svchost.exe

[ Changes to registry ]
* Creates value "ServiceHost"=""" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates key "HKLM\Software\Microsoft\Internet Explorer\ActiveX Compatibility".


Verzeichnis von E:\Programme\Java\jre1.5.0_06\bin
25.04.2006 13:37 16 clientid
25.04.2006 13:37 19.442 MetaClient.jar
25.04.2006 13:37 82.944 virus.exe

07/26/06 15:00:59 [Info]: Hidden file: e:\WINDOWS\vuljq1.dll
07/26/06 15:00:59 [Info]: Hidden file: e:\WINDOWS\vuljq1.upd
07/26/06 15:01:00 [Info]: Hidden file: e:\WINDOWS:setupapf.log

Verzeichnis von C:\WINDOWS

20.09.2006 17:56 77.471 E6.tmp
20.09.2006 17:56 75.023 E7.tmp

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="\\\\?\\C:\\WINDOWS\\System32\\com7.fdn"

Dr.Web

C:\!KillBox\E6.tmp ist ein Adware-Programm Adware.LinkOptimizer

C:\System Volume Information\_restore{EA1AA6C6-2103-4D53-AB53-C2B389E246A2}\RP1\A0000038.dll ist ein Adware-Programm Adware.LinkOptimizer

http://www.pcwelt.de

Diejenigen, die versuchen mit Malware Geld zu verdienen, nutzen offenbar immer mehr ganze Ketten von Malware. Ein treffendes Beispiel aus Italien schildert Eric Chien von Symantec im Security Response Blog des Antivirus-Herstellers.

Wie so oft beginnt die Kette mit Spam-artig verbreiteten Mails, die Links auf dubiose Websites enthalten. Wer den Links folgt, landet auf Seiten, die je nach verwendetem Browser unterschiedliche Methoden einsetzen, um dem Besucher das erste Stück Software aufzudrängen. Bei Benutzern des Internet Explorers wird ein nicht mehr ganz taufrischer Exploit im Media-Player-Plugin ( MS06-006 ) eingesetzt. Firefox-Benutzern wird automatisch ein Download-Dialog für eine Datei namens "www.google.com" präsentiert.

http://www.antirootkit.com

O16 - DPF: {24725B34-EB95-46C4-B78B-214EA022E851} - http://gromozon.com/f7904189/50300/1/xp/FreeAccess.ocx
O16 - DPF: {8EB98288-D1A9-43A3-ADA6-296CF6547E1D} - http://xearl.com/66f82d53/sm/10012/1/xp/FreeAccess.ocx
O16 - DPF: {E1B2E892-712E-4069-81CB-4A4E9CCB4A9F} - http://td8eau9td.com/fff44368/sm/10003/1/xp/FreeAccess.ocx

Diese erste Programmdatei enthält eine DLL-Komponente, die als BHO (Browser Helper Object) im Internet Explorer registriert wird. Diese lädt eine scheinbare GIF-Datei, die eine verschlüsselte EXE-Datei enthält. Das BHO entschlüsselt und startet dieses Programm - es enthält wiederum zwei EXE-Dateien, nennen wir sie einfach "Nummer 3" und "Nummer 4". Die Nummer 3 benutzt die Windows-Komponente EFS (Encrypted File System), um sich zu verstecken.

Nummer 4 hingegen ist eine Variante der Adware "LinkOptimizer", die während der Web-Nutzung Werbe-Popups anzeigt. Sie benutzt Nummer 3, um im Internet nach Updates von sich zu suchen. Eine ältere Variante von Nummer 3 setzt auf ADS (Alternate Data Streams), ebenfalls ein Feature des Windows-Dateisystems NTFS, um sich zu verbergen. Zudem werden in der Datei enthaltene Klartext-Zeichenketten mit dem RC4-Verfahren verschlüsselt.

...die Programme jede Menge Programm-Code enthalten. Der soll wohl dazu dienen, die Analyse der Programme durch Virenforscher zu erschweren.

Die ganze Geschichte dreht sich um die Website gromozon.com, die mit einem einfach Trick geschützt werden soll: Die Startseite verkündet, die Website sei geschlossen - mit Gruß vom Abuse-Team. Sie ist jedoch weiterhin aktiv. Die mutmaßlich dahinter steckende Tätergruppe hat eine ganze Reihe weiterer Domains registriert, deren Namen auch in Programmdateien auftauchen. Websites sind unter diesen Domain-Namen jedoch meist nicht erreichbar, eine führt gar zu einer Regierungs-Website

HijackTHis

O2 - BHO: Class - {A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} - C:\WINDOWS\naelq1.dll

Disabling rootkit file: \\?\C:\WINDOWS\System32\com7.fdn
\\?\C:\WINDOWS\System32\com7.fdn
Resetting file permissions...
Clearing attributes...
Zugriff verweigert - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programme\Gemeinsame Dateien

Download Registry Search by Bobbi Flekman - regsearch
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}

naelq1

in edit und klicke "Ok". - Notepad wird sich öffnen
in: "Enter search strings" (reinschreiben oder reinkopieren)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1}\InprocServer32] @="C:\\WINDOWS\\naelq1.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B}\InprocServer32] @="C:\\WINDOWS\\naelq1.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks] "{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}]

Avenger (Beispiel)

Registry values to delete: HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} registry keys to delete: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9949C272-1D12-B289-6846-1BEA3C5E92F1} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BD67BA8-EE38-22B4-CFE1-5E4AE64ED29B} Files to delete: C:\_cleaned.tmp C:\WINDOWS\naelq1.del C:\WINDOWS\naelq1.dll

RootkitRevealer

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs 17/06/2006 10.29 66 bytes Windows API length not consistent with raw hive data.
C:/WINDOWS/hyqtt1.del 10/07/2006 14.56 63.16 KB Hidden from Windows API.
C:/WINDOWS/hyqtt1.dll 10/07/2006 14.56 63.16 KB Hidden from Windows API.
C:/WINDOWS/system32/com4.igp 10/07/2006 16.39 115.04 KB Hidden from Windows API.

---