Aiuto su rootkit o simili particolarmente velenosi

[marcello1854]

Salve ho scoperto su un computer aziendale la presenza di alcune stranezze che mi hanno fatto subito pensare alla presenza di una specie di rootkit, nel contempo un mio amico mi ha telefonato per segnalare un infezione con gli stessi sintomi.

Dopo alcune ricerche su google ho masterizzato un bart pe disk scaricato da ubcdwin e con questo ho pulito il registro di sistema dei due computer.

Entrambi presentevano diverse chiave relativi a misterosi servizi del tipo sysmld, sysmxh, syslogfog e compagnia cantante.

Ho eliminato tutte le voci relative presenti sotto LOCAL_MACHINE sotto
SECURITY/SECRETS LEGACY_XXXX SERVICES/xxxx e relativi file eseguibili presenti in genere nella cartella dei file comuni.

Tutte le chiavi presentavano autorizzazioni taroccate e non cancellabili se non partendo con il bart-disk.

In entrami i casi blacklight mi ha segnalato la presenza che erano stati rimossi i privilegi SEDEBUG dall'amministratore per cui li ho ripristinati con l2mfix.

Orbene alla fine della fiera su entrambi i sistemi mi sono rimasti due file hidden
scoperti da blacklight che non possono essere cancellati in alcun modo neanche con boot bart-disk.

Il primo sembra un file ADS associato alla cartella C:\ con nome :LPT1 sul primo computer.

Sul secondo c'è un file di nome nul.gdx che appare essere di 138kb ma non eliminabile in alcun modo.

Ogni operazione su quel file comporta il messaggio di sistema parametro non corretto.

Qualcuno ha qualche suggerimento ?


grazie per ogni risposta

Marcello