ho fatto una scansione con prevxcsi e mi ha trovato questo rootkit nascosto (posso rimuoverlo solo pagando la licenza)...
con gmer tasto dx, elimina ma purtroppo non è così facile e bello come potevo immaginare..
mi ritrovo con quest'infezione che praticamente mi blocca anche la scansione con nod32.. come si rimuove questa infezione? con avenger2 non ci riesco, non trova il file

dal registro ho già eliminato le chiavi corrispondenti..
sto provando con una live distro di linux ma nn vedo nulla

ci carichi i log secondo le modalità?

ecco il primo

e il secondo

gmer lo indica come ads

http://www.pointstone.com/download/freeware/ADS-Scanner/ADSScanner.zip
Dal link scarica ads-scanner, lo estrai dall'archivio e lo fai partire
Seleziona Find ADS on all NTFS drives → Clicca su SCAN e attendi la scansione → A fine scansione ti troverai una lista, contenente anche nomi di foto che conosci, cancellandole cancellerai solo delle informazioni inutili o potenzialmente pericolose contenute in questi files, non i files stessi → quindi click destro su una voce trovata e "Check all" → Clicca su Remove Selected stream → Yes → Esci dal programma



se gmer lo rileva ancora in avenger prova a mettere
files to delete:
C:\unreal.sys

ecco il risultato..

*******************
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\:unreal.sys" not found!
Deletion of file "C:\:unreal.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.
*******************

Finished! Terminate.
*******************






*******************
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\unreal.sys" not found!
Deletion of file "C:\unreal.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
*******************

fai una passata con roorkit unhooker (http://rapidshare.com/files/133000654/RkU3.8.340.550.rar.html) l'unreal è di quella famiglia di così che sono pochi a rilevarli

fatta la pulizia ads?

fatta la pulizia ads?

in quanlunque caso rku la fa :)

installa unlocker,vai in system 32 seleziona il file ed eliminalo manualmente

http://ccollomb.free.fr/unlocker/

poi scarica autoruns da qui
http://www.microsoft.com/technet/sysinternals/default.mspx
aprilo,vai nella sezione driver elimina la voce corrispondente dal registro(occhio ad eliminare solo quello,non eliminare nulla che sia di microsoft)

dovresti aver risolto a meno che non ci sia un eseguibile che ti ricrea il file .sys

installa unlocker,vai in system 32 seleziona il file ed eliminalo manualmente

http://ccollomb.free.fr/unlocker/

poi scarica autoruns da qui
http://www.microsoft.com/technet/sysinternals/default.mspx
aprilo,vai nella sezione driver elimina la voce corrispondente dal registro(occhio ad eliminare solo quello,non eliminare nulla che sia di microsoft)

dovresti aver risolto a meno che non ci sia un eseguibile che ti ricrea il file .sys

dubito fortemente che qualcosa di invisibile a avenger che esiste nelle prime fasi del kernel risulti visibili a un programma che opera tramite win32 ;)

dubito fortemente che qualcosa di invisibile a avenger che esiste nelle prime fasi del kernel risulti visibili a un programma che opera tramite win32 ;)

in modalità provvisoria oppure in modalità con prompt penso riuscirebbe ad eliminarlo

in modalità provvisoria oppure in modalità con prompt penso riuscirebbe ad eliminarlo

Infatti penso che wizard non mette in dubbio che non lo riesce ad eliminare ma che non lo troverà proprio;)

Infatti penso che wizard non mette in dubbio che non lo riesce ad eliminare ma che non lo troverà proprio;)

perchè non può trovarlo manualmente e col destro eliminarlo?

perchè non può trovarlo manualmente e col destro eliminarlo?

perchè se è talmente occultato che non lo vede avenger (che va a leggere i dati in modalità raw, senza passare dalle api) come pensi faccia explorer o chi per lui a trovarlo? rku riesce abbastanza bene in questoin quanto non sfrutta la modalità raw, inoltre unreal e rku sono della stessa mano

Ma unreal non era un demo rootkit? Gli autori non hanno creato un tool che lo installa e lo disinstalla?

avenger non lo vede.
rku dove lo scarico?? ho notato in modalità normale e provvisoria che non riesco a completare la scansione: l'antivirus brutamente si interrompe..
ma con l'unlocker che file devo eliminare??nn vedo nulla...:muro: :muro:
ads non ha fatto nulla, anche il tool che mette a disposizione la futurtime

Ma unreal non era un demo rootkit? Gli autori non hanno creato un tool che lo installa e lo disinstalla?

e avevano dato il sorgente sul p2p, quindi fai 2+2

ma io cosa faccio in conclusione ??? :doh: :doh: :read: :read: :help: :help:

ma io cosa faccio in conclusione ??? :doh: :doh: :read: :read: :help: :help:

Fai questo:

http://www.hwupgrade.it/forum/showpost.php?p=23536459&postcount=7

Clicca su rootkit unhooker per scaricarlo.

per la cronaca 'rootkit buster' non parte..

ecco 4 report della scansione che ho fatto ma non trova niente cavolo..
provo con ubuntu?? ma quel file dove deve stare??

ecco 4 report della scansione che ho fatto ma non trova niente cavolo..
provo con ubuntu?? ma quel file dove deve stare??

autoruns mi sa che te lo dice perchè fa la scansione del registro di windows alla ricerca di drivers

date che le sfighe non arrivano mai sole, vediamo di avere innanzitutto un sistema pulito...

Segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


Con la pulizia files inutili, ads e le scansioni lunghe di antispyware (1) ed antivirus (2 e 3) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.


Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Questo (http://www.hwupgrade.it/forum/showpost.php?p=22872366&postcount=1) è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube (http://fileqube.com/)