rootkit unreal.sys

[nicola82]

ho fatto una scansione con prevxcsi e mi ha trovato questo rootkit nascosto (posso rimuoverlo solo pagando la licenza)...
con gmer tasto dx, elimina ma purtroppo non è così facile e bello come potevo immaginare..
mi ritrovo con quest'infezione che praticamente mi blocca anche la scansione con nod32.. come si rimuove questa infezione? con avenger2 non ci riesco, non trova il file

dal registro ho già eliminato le chiavi corrispondenti..
sto provando con una live distro di linux ma nn vedo nulla

[wjmat]

ci carichi i log secondo le modalità?

[nicola82]

ecco il primo

[nicola82]

e il secondo

[wjmat]

gmer lo indica come ads

http://www.pointstone.com/download/f...ADSScanner.zip
Dal link scarica ads-scanner, lo estrai dall'archivio e lo fai partire
Seleziona Find ADS on all NTFS drives → Clicca su SCAN e attendi la scansione → A fine scansione ti troverai una lista, contenente anche nomi di foto che conosci, cancellandole cancellerai solo delle informazioni inutili o potenzialmente pericolose contenute in questi files, non i files stessi → quindi click destro su una voce trovata e "Check all" → Clicca su Remove Selected stream → Yes → Esci dal programma



se gmer lo rileva ancora in avenger prova a mettere

Codice:

files to delete:
C:\unreal.sys

[nicola82]

ecco il risultato..

Codice:

*******************
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\:unreal.sys" not found!
Deletion of file "C:\:unreal.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.
*******************

Finished!  Terminate.
*******************






*******************
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\unreal.sys" not found!
Deletion of file "C:\unreal.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
*******************

[wizard1993]

fai una passata con roorkit unhooker l'unreal è di quella famiglia di così che sono pochi a rilevarli

[wjmat]

fatta la pulizia ads?

[wizard1993]

Quote:

Originariamente inviato da wjmat

fatta la pulizia ads?

in quanlunque caso rku la fa

[lupin87]

installa unlocker,vai in system 32 seleziona il file ed eliminalo manualmente

http://ccollomb.free.fr/unlocker/

poi scarica autoruns da qui
http://www.microsoft.com/technet/sys...s/default.mspx
aprilo,vai nella sezione driver elimina la voce corrispondente dal registro(occhio ad eliminare solo quello,non eliminare nulla che sia di microsoft)

dovresti aver risolto a meno che non ci sia un eseguibile che ti ricrea il file .sys

[wizard1993]

Quote:

Originariamente inviato da lupin87

installa unlocker,vai in system 32 seleziona il file ed eliminalo manualmente

http://ccollomb.free.fr/unlocker/

poi scarica autoruns da qui
http://www.microsoft.com/technet/sys...s/default.mspx
aprilo,vai nella sezione driver elimina la voce corrispondente dal registro(occhio ad eliminare solo quello,non eliminare nulla che sia di microsoft)

dovresti aver risolto a meno che non ci sia un eseguibile che ti ricrea il file .sys

dubito fortemente che qualcosa di invisibile a avenger che esiste nelle prime fasi del kernel risulti visibili a un programma che opera tramite win32

[lupin87]

Quote:

Originariamente inviato da wizard1993

dubito fortemente che qualcosa di invisibile a avenger che esiste nelle prime fasi del kernel risulti visibili a un programma che opera tramite win32

in modalità provvisoria oppure in modalità con prompt penso riuscirebbe ad eliminarlo

[giofio]

Quote:

Originariamente inviato da lupin87

in modalità provvisoria oppure in modalità con prompt penso riuscirebbe ad eliminarlo

Infatti penso che wizard non mette in dubbio che non lo riesce ad eliminare ma che non lo troverà proprio

[lupin87]

Quote:

Originariamente inviato da giofio

Infatti penso che wizard non mette in dubbio che non lo riesce ad eliminare ma che non lo troverà proprio

perchè non può trovarlo manualmente e col destro eliminarlo?

[wizard1993]

Quote:

Originariamente inviato da lupin87

perchè non può trovarlo manualmente e col destro eliminarlo?

perchè se è talmente occultato che non lo vede avenger (che va a leggere i dati in modalità raw, senza passare dalle api) come pensi faccia explorer o chi per lui a trovarlo? rku riesce abbastanza bene in questoin quanto non sfrutta la modalità raw, inoltre unreal e rku sono della stessa mano

[Nuz]

Ma unreal non era un demo rootkit? Gli autori non hanno creato un tool che lo installa e lo disinstalla?

[nicola82]

avenger non lo vede.
rku dove lo scarico?? ho notato in modalità normale e provvisoria che non riesco a completare la scansione: l'antivirus brutamente si interrompe..
ma con l'unlocker che file devo eliminare??nn vedo nulla...
ads non ha fatto nulla, anche il tool che mette a disposizione la futurtime

[wizard1993]

Quote:

Originariamente inviato da Nuz

Ma unreal non era un demo rootkit? Gli autori non hanno creato un tool che lo installa e lo disinstalla?

e avevano dato il sorgente sul p2p, quindi fai 2+2

[nicola82]

ma io cosa faccio in conclusione ???

[Nuz]

Quote:

Originariamente inviato da nicola82

ma io cosa faccio in conclusione ???

Fai questo:

http://www.hwupgrade.it/forum/showpo...59&postcount=7

Clicca su rootkit unhooker per scaricarlo.