« precedente successivo »
Pagine: [1]   Vai Giù

Autore Topic: Eliminazione Rootkit "irremovibile"  (Letto 1646 volte)

Descrizione:

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline Pecos

Eliminazione Rootkit "irremovibile"
« il: Agosto 25, 2010, 11:43:19 am »
Ciao a tutti, scrivo "per procura"

Un mio collega si è preso un bel virus sul pc di casa

Da quanto mi dice ha un rootkit che apre 'n' connessioni verso provider di posta, in pratica sta facendo da ponte per qualche spammer

Non è un novizio informatico, è uno sgamato, e dice di essere riuscito a ripulire tutto tranne questo rootkit che non riesce ad eliminare (purtroppo non è riuscito a dare un "nome" al rootkit incriminato)

Il PC adesso è ovviamente OFFLINE dalla rete

Non riuscendo a fare altrimenti ha preparato un CD di avvio con antivirus aggiornato per provare a ripulirlo senza far partire Windows ma ha problemi per via dei driver della scheda RAID
E' una Intel con chipset ICH10

Sta cercando i driver su internet ma farsi un CD con BART PE, i driver, etc etc è ovviamente un casino, a questo punto fa prima a reinstallare
Vorrebbe evitare di reinstallare tutto

Se nel qualcuno ha dei suggerimenti sul da farsi sono ben accetti

Connesso
Vi veri universum vivus vici
 

Offline ridethesnake

  • Vice Amministratore
  • *
  • Post: 8665
  • Ringraziato: 4 volte
  • Karma: +476/-3
  • Quando aiuti qualcuno aiuti te stesso.
Re:Eliminazione Rootkit "irremovibile"
« Risposta #1 il: Agosto 25, 2010, 12:01:16 pm »
Per quanto riguarda il driver della controller raid, dal sito del produttore basta prelevare il pacchetto, preparare il dischetto, e poi integrare i files nella PE.

Personalmente formatterei: anche perchè il rootkit non è detto che si riesca a rimuoverlo completamente, e senza l'eventuale tarlo che tra una settimana non torni (si autoaggiornano meglio di qualunque OS).

Ci sono rootkit che si piantano crittografati e con un loro filesystem in porzioni del disco che risultano vuoti: non serve fare una scansione con il pc in attività. Si può provare con Avira Rescue
   
 

http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html

 
ma senza garanzie.

 :ciao:
Connesso
Se do da mangiare ad un povero, mi dicono che sono un santo, ma se chiedo perchè quel povero è povero, mi dicono che sono un comunista!



Se non avete niente di meglio da fare andate a farlo da un'altra parte.
 

Offline Bluangel56

Re:Eliminazione Rootkit "irremovibile"
« Risposta #2 il: Agosto 25, 2010, 12:12:55 pm »
Rootkit Buster Trend Micro ( freeware )

 che non necessita di installazione. E’ semplicissimo nella sua  interfaccia (assolutamente accessibile anche a chi utilizza il computer  con uno screen reader).
 E’ possibile scegliere cosa far scansionare: file nascosti, file  nascosti, chiavi di registro, processi, driver e Master Boot Record
 (MBR). Ovviamente è consigliabile seguire una scansione completa e fare  attenzione poi ed esaminare uno per uno gli elementi rilevati, perché è  assolutamente probabile che tra essi compaiano anche falsi positivi,  ovvero elementi riconosciuti come dannosi, ma che in realtà non lo sono;  se non si è “esperti”, si può fare una ricerca su google relativa al  nome del file rilevato.
 Quando si è sicuri di cosa eliminare, direttamente dall’interfaccia del software è possibile eliminare gli elementi infetti.


   
 

http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBuster_2.80.1077.zip

 

Concordo con Ride non sono mai una garanzia ...
« Ultima modifica: Agosto 25, 2010, 12:14:51 pm da Bluangel56 »
Connesso
Mai visto tanta gente che non ho mai visto ......
 

Offline Pecos

Re:Eliminazione Rootkit "irremovibile"
« Risposta #3 il: Agosto 25, 2010, 12:28:34 pm »
Citazione
Concordo con Ride non sono mai una garanzia ...
Concordo anche io, anche se tentar non nuoce...

Citazione
basta prelevare il pacchetto, preparare il dischetto, e poi integrare i files nella PE
Lo so, hai sicuramente ragione, ma come dici anche tu a questo punto tanto vale format e install

Ringrazio entrambi e riferisco!!!

Per ora lui ha provato con Symantec e poi con Kaspersky, pertendo da Windows (come dicevo il CD boot ha problemi con il raid)

Kaspersky gli ha detto di questo rootkit ma non è riuscito a rimuoverlo, ci ha riprovato in safe mode ma pare non lo abbia rimosso comunque (ha terminato ieri notte tardi, deve verificare nel dettaglio...)

Passo i suggerimenti, altrimenti vai di format!!! Anche io formatterei, una bella pulita e riparti...
Connesso
Vi veri universum vivus vici
 

Offline crazy.cat

Re:Eliminazione Rootkit "irremovibile"
« Risposta #4 il: Agosto 25, 2010, 13:14:29 pm »
Se il rootkit si è cacciato nei settori di boot non lo togli con una formattazione normale ma bisogna fare prima quella a basso livello.
Se è un rootkit normale si dovrebbe togliere con le buone o con le cattive, digli di fare una scansione con combofix (quando chiede di installare la console di windows non deve farlo e se gli dice che c'è un antivirus installato di proseguire e ignorare) e poi una con mbr.exe http://www2.gmer.net/mbr/mbr.exe e di postare qui i log che ne escono.
mbr.exe lo salvi nel disco fisso, magari in c:\, apri un prompt di msdos da start- esegui e digiti il comando c:\mbr.exe -f




Connesso
Gli uomini politici sono uguali dappertutto. Promettono di costruire un ponte anche dove non c’è un fiume.
 

Offline Pecos

Re:Eliminazione Rootkit "irremovibile"
« Risposta #5 il: Agosto 26, 2010, 11:12:24 am »
Riporto i ringraziamenti del mio collega

Non chiedetemi i dettagli ma alla fine è riuscito ad estirpare il rootkit maligno :diavolo: da suo sistema (non era nel mbr), solo che (come ci si può aspettare in questi casi) il sistema ora non è del tutto stabile
Funzionare funziona ma presenta vari problemi per cui procederà con formattazione (non so se low level o meno) e reinstallazione

Grazie comunque delle risposte, sono uscite cose interessanti!
 :applausi: :applausi: :applausi: :applausi:
Connesso
Vi veri universum vivus vici
 

Cliccate il BANNER sopra, sarete di grande Aiuto. GRAZIE !

Pagine: [1]   Vai Su
« precedente successivo »