Come eliminare un rootkit????

getsgets1 · 07-09-2007, 09:30

Con l'antirootkit della macAfee ho scoperto di avere questo file infetto:
C:\system\volume information\catalog.wci.ren
Il rootkit viene rinominato ma purtroppo dopo il riavvio si ripresenta.
L'effetto devastante è quello di "gonfiare" il disco C. Per ora ho rimediato con Acronis trueimage, ma temo che sia anche nel backup. Che devo fare per eliminarlo definitivamente?
Fatemi sapere perchè sono veramente disperato

!!!
Grazie e saluti

Bugs Bunny · 07-09-2007, 10:37

disabilita ripristino configurazione di sistema

getsgets1 · 07-09-2007, 10:45

Già fatto .. per ripristinare uso Trueimage

71104 · 07-09-2007, 13:41

se provi banalmente a cancellarlo che succede? si ripresenta al successivo riavvio?

getsgets1 · 07-09-2007, 14:09

Da McAfee non è possibile (lo rinomina soltanto) mentre da sistema se cerco di cancellarlo mi viene comunicato che posso compromettere il sistema ... penso sia già compromesso abbastanza!!

Riverside · 07-09-2007, 15:42

Quote:

Originariamente inviato da getsgets1

Da McAfee non è possibile (lo rinomina soltanto) mentre da sistema se cerco di cancellarlo mi viene comunicato che posso compromettere il sistema ... penso sia già compromesso abbastanza!!

Non per dire (basterebbe cercare e leggere, prima di postare), in diversi post (in particolare in questa sezione del forum) abbiamo segnalato diversi software utlili per risolvere i problemi più disparati; quelli che, per ora, a te servono, sono questi:

● PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

● ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato (con esclusione dei riferimenti a MIrc, fotocamere digitali e/o scanner eventualmente installati).

Poi, pubblica, qui, un log HIJACKTHIS: clicca qui per il download
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log

getsgets1 · 07-09-2007, 15:55

grazie .. stasera mi metto al lavoro e ti posto

Riverside · 07-09-2007, 16:03

Quote:

Originariamente inviato da getsgets1

grazie .. stasera mi metto al lavoro e ti posto

devi postare il log di HThis, non me

A parte gli scherzi, esegui i due software e, poi, facci sapere.

getsgets1 · 07-09-2007, 22:22

Ti allego il log di hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.16.05, on 07/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\vsnp2std.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Programmi\BitComet\tools\BitCometBHO_1.1.8.30.dll
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmi\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Programmi\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - E:\Programmi\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{286BCF99-AC2E-463D-A410-4F509CFC818C}: NameServer = 213.205.32.70 213.205.36.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - E:\Programmi\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5266 bytes

Riverside · 07-09-2007, 22:44

Quote:

Originariamente inviato da getsgets1

Ti allego il log di hijackthis:

Il log è pulito, il problema lo hai risolto o permane?

getsgets1 · 08-09-2007, 19:55

Ho riformattato xon trueimage ...ora tutto ok (spero) Grazie per i consigli che utilizzerò in futuro

07-09-2007, 09:30	#1
getsgets1 Member Iscritto dal: Feb 2007 Messaggi: 80	Come eliminare un rootkit???? Con l'antirootkit della macAfee ho scoperto di avere questo file infetto: C:\system\volume information\catalog.wci.ren Il rootkit viene rinominato ma purtroppo dopo il riavvio si ripresenta. L'effetto devastante è quello di "gonfiare" il disco C. Per ora ho rimediato con Acronis trueimage, ma temo che sia anche nel backup. Che devo fare per eliminarlo definitivamente? Fatemi sapere perchè sono veramente disperato !!! Grazie e saluti

07-09-2007, 10:37	#2
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	disabilita ripristino configurazione di sistema

07-09-2007, 10:45	#3
getsgets1 Member Iscritto dal: Feb 2007 Messaggi: 80	Già fatto .. per ripristinare uso Trueimage

07-09-2007, 13:41	#4
71104 Bannato Iscritto dal: Feb 2005 Città: Roma Messaggi: 7029	se provi banalmente a cancellarlo che succede? si ripresenta al successivo riavvio?

07-09-2007, 14:09	#5
getsgets1 Member Iscritto dal: Feb 2007 Messaggi: 80	Da McAfee non è possibile (lo rinomina soltanto) mentre da sistema se cerco di cancellarlo mi viene comunicato che posso compromettere il sistema ... penso sia già compromesso abbastanza!!

07-09-2007, 15:55	#7
getsgets1 Member Iscritto dal: Feb 2007 Messaggi: 80	grazie .. stasera mi metto al lavoro e ti posto

07-09-2007, 22:22	#9
getsgets1 Member Iscritto dal: Feb 2007 Messaggi: 80	Ti allego il log di hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22.16.05, on 07/09/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\a-squared Free\a2service.exe C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programmi\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\tsnp2std.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\vsnp2std.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\Skype\Phone\Skype.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programmi\Skype\Plugin Manager\skypePM.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Programmi\BitComet\tools\BitCometBHO_1.1.8.30.dll O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmi\Agnitum\Outpost Firewall\outpost.exe" /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Programmi\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Programmi\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Programmi\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - E:\Programmi\BitComet\tools\BitCometBHO_1.1.8.30.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{286BCF99-AC2E-463D-A410-4F509CFC818C}: NameServer = 213.205.32.70 213.205.36.70 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - E:\Programmi\Spyware Doctor\sdhelp.exe (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe -- End of file - 5266 bytes

08-09-2007, 19:55	#11
getsgets1 Member Iscritto dal: Feb 2007 Messaggi: 80	Ho riformattato xon trueimage ...ora tutto ok (spero) Grazie per i consigli che utilizzerò in futuro

Strumenti
Mostra una versione stampabile Invia questa pagina per email