Ripristino privilegi amministratore

RikShield · 01-01-2009, 13:57

Innanzi tutto...buon anno a tutti!!

Vorrei chiedere parere a chi più esperto di me in fatto di sicurezza. Ho un amico che ha un portatile che è stato infettato scasricando un non ufficile limewire.
Allora: ho rimosso diversi file e chiavi infetti con i soliti Asquared, spybot e co. e manualmente, però risulta che il rootkit è ancora attivo poichè l'utente non è più amministratore del pc (nonostante sia sotto la dicitura amministratore) e noto che anche su firefox mi si aprono solite pagine pubblicitarie e download di programmi truffaldini. Ora, creando un nuovo utente la situazione è stabile ma il kerberos di win continua a negarmi i privilegi di amministratore che anche in provvisoria, entrando come administrator locale e ripristinando i criteri di protezione locale, non mi sono stati ripristinati al successivo riavvio.
Ho passato scanner antigromozon e altri rootkit conosciuti ma, all'installazione, molti non è possibile installarli.
Ce un metodo diverso per rimuovere sto rootkit e ripristinare i criteri di protezione locali? Premetto che conosco già i metodi suggeriti nelle guide e mi serve principalmente riuscire a trovare il nome di questo famigerato rootkit e a ridare i privilegi di amministrazione persi all'utente e che non vorrei formattare (anche se sembra la via più conveniente)...
Grazie a tutti coloro che mi aiuteranno.

**Chill-Out** · 01-01-2009, 14:11

Ciao e benvenuto segui Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

RikShield · 01-01-2009, 16:14

Fatto! In effetti rifacendo la scansione con VirIT una seconda volta con l'altro utente, mi trova file infetti da bensorty.C e Rootkit.CD ma, chiaramente, non riesce a rimuovere perchè non ci sono privilegi di amministrazione...
Riproverò in provvisoria con Administrator e vedremo che succede..Cmq ho trovato finalmente che è un Rootkit.CD

RikShield · 02-01-2009, 13:40

Perfetto! Sono riuscito a rimuovere i rootkit con gmer (al secondo tentativo) e a ripristinare i privilegi amministratore...non vedo più alcune voci nei menu di esplora risorse ma se li raggiungo dal pannello di controllo è possibile utilizzarle.
Ho completato con una scansione online con fsecure e kaspersky e VirIT a fatto il resto...
Grazie mille dei suggerimenti

01-01-2009, 13:57	#1
RikShield Senior Member Iscritto dal: Jul 2004 Città: Marche Messaggi: 544	Ripristino privilegi amministratore Innanzi tutto...buon anno a tutti!! Vorrei chiedere parere a chi più esperto di me in fatto di sicurezza. Ho un amico che ha un portatile che è stato infettato scasricando un non ufficile limewire. Allora: ho rimosso diversi file e chiavi infetti con i soliti Asquared, spybot e co. e manualmente, però risulta che il rootkit è ancora attivo poichè l'utente non è più amministratore del pc (nonostante sia sotto la dicitura amministratore) e noto che anche su firefox mi si aprono solite pagine pubblicitarie e download di programmi truffaldini. Ora, creando un nuovo utente la situazione è stabile ma il kerberos di win continua a negarmi i privilegi di amministratore che anche in provvisoria, entrando come administrator locale e ripristinando i criteri di protezione locale, non mi sono stati ripristinati al successivo riavvio. Ho passato scanner antigromozon e altri rootkit conosciuti ma, all'installazione, molti non è possibile installarli. Ce un metodo diverso per rimuovere sto rootkit e ripristinare i criteri di protezione locali? Premetto che conosco già i metodi suggeriti nelle guide e mi serve principalmente riuscire a trovare il nome di questo famigerato rootkit e a ridare i privilegi di amministrazione persi all'utente e che non vorrei formattare (anche se sembra la via più conveniente)... Grazie a tutti coloro che mi aiuteranno.

01-01-2009, 14:11	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao e benvenuto segui Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI: Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download * REGOLE di SEZIONE - obbligatoria la lettura!! * __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

01-01-2009, 16:14	#3
RikShield Senior Member Iscritto dal: Jul 2004 Città: Marche Messaggi: 544	Fatto! In effetti rifacendo la scansione con VirIT una seconda volta con l'altro utente, mi trova file infetti da bensorty.C e Rootkit.CD ma, chiaramente, non riesce a rimuovere perchè non ci sono privilegi di amministrazione... Riproverò in provvisoria con Administrator e vedremo che succede..Cmq ho trovato finalmente che è un Rootkit.CD

02-01-2009, 13:40	#4
RikShield Senior Member Iscritto dal: Jul 2004 Città: Marche Messaggi: 544	Perfetto! Sono riuscito a rimuovere i rootkit con gmer (al secondo tentativo) e a ripristinare i privilegi amministratore...non vedo più alcune voci nei menu di esplora risorse ma se li raggiungo dal pannello di controllo è possibile utilizzarle. Ho completato con una scansione online con fsecure e kaspersky e VirIT a fatto il resto... Grazie mille dei suggerimenti

Strumenti
Mostra una versione stampabile Invia questa pagina per email