PDA

Visualizza versione completa : File Ineliminabile...Aiuto, sono alla frutta...


Arthur85
25-08-2006, 23.54.21
Come da titolo ho questo problema:

- Ho trovato un file che al 99% è dannoso, lo ha individuato un antirootkit insieme ad altri che ho eliminato...

Il problema è il seguente: Non riesco ad eliminarlo!

Il file è criptato (la scritta è in verde) e poi icona sembra semitrasparente...
Ho agito in questo modo:

- Ho provato a cancellarlo semplicemente -> Niente
- Ho provato CCleaner -> Niente
- Ho provato con Unlocker -> Niente
- Ho provato a rinominarlo -> quest'operazione ha dato buon esito
- Ho provato a spostarlo -> creando una cartella nella stessa del file, non riesco a spostarlo, ma spostando il file sul desktop e poi in quella cartella, si riesce a spostarlo...(strano...)
- Ho provato con il pront di MS-DOS, ma il file non c'è neanche e la cartella non puà essere eliminata
- Ho provato da modalità provvisoria -> Niente
- Ho fatto partire il pc con una versione live di linux e sono andato a cercare il file per eliminarlo... -> sembra impossibile, ma sembra che non abbia i permessi adatti
-Ho provato a cambiare il permessi, ma sembra che non abbia il permesso...chiaramente sia in Xp che Linux opero da amministratore...

Io non so più dove battere la testa...cosa devo fare?

Domanda importante: dato che sono riuscito a rinominarlo e spostarlo è possibile che sia diventato innoquo se mai fosse stato dannoso? (spero di si)

Fatemi sapere...grazie...

CIAO



***
News: Una piccola vittoria l'ho avuta...sono riusco a cambiare estensione...ora dovrebbe essere innoquo, no?

Davide71
26-08-2006, 01.08.28
Ma per caso il file o i file in questione sono contenuti nella cartella "C:\Programmi\File comuni\System\" ?

Proprio oggi ho incontrato un c@zzo di spyware chiamato "fis.exe", un programma che nessun taskmanager riesce a killare nemmeno dalla provvisoria, nemmeno dall'hiren's boot cd 8.3 (ultima versione), caricando l'ntfsdos. Non ho provato pero' l'Erd Commander 2005 che consente di resettare i permessi dei dischi e cartelle di WinXP. L'AVG logicamente non riesce ad eliminarlo e continua stupidamente a segnalarlo, nemmeno ignorandolo si riesce di fare nulla. Altri software come il trendmicro (sysclean.com) non lo riconoscono, nel registro non c'e' nessuna voce riguardante quel "fis.exe", tra l'altro dal "normale" taskmgr il processo attivo e' invisibile, il Winpatrol lo rileva ma non e' in grado di killarlo. Altri software non sono in grado (tipo killbox.exe, deletedr.exe, ecc.) di cancellare il file virale in nessun modo.
Ho dovuto installare il "bit defender 9 professional plus" per togliere l'infezione, ma i file in questione non si cancellano, in nessuna maniera, forse, dico forse, l'erd commander 2005 e' l'ultima chance. Vedremo!!


byezzz

Arthur85
26-08-2006, 12.44.10
Si...anche io ho il problema nella stessa cartella...A dire il vero però non mi ricordo il nome originale, una volta rinominato me ne sono dimenticato...Sophos Antirootkit lo individua come un rootkit...ho provato a fare un controllo con VirusTotal...ma niente...appare pulito...

Non so più che fare, ora proverò erd commander, ma dubito che funzioni...ho provato a fare una cosa simile da linux cambiando i permessi, ma non me li fa cambiare...bhò...

Ciao

einemass
26-08-2006, 12.50.23
il buon vecchio DOS puro ;) da li cancelli quello che ti pare, a meno che tu nn abbia la partizione in ntfs che il dos nn legge allora ci vuole un prog particolare che ora nn ricordo ma che sicuramente altri sapranno dirti. Oppure con partition magic, converti un attimo la partizione in fat32 e poi con un dischetto dos cancelli. ma nn è una buona idea questa ;)

Arthur85
26-08-2006, 13.14.00
Io ho NTFS, infatti non riesco a leggere il file...non lo trova proprio...cerco informazioni sul programma che mi hai consigliato:) ...
...se qualcun'altro ha informazioni in merito....

Ciao

einemass
26-08-2006, 13.42.08
è proprio per questo motivo che uso ancora la fat32, male che va tengo sempre il dos che mi salva ;)

Davide71
26-08-2006, 15.17.06
il buon vecchio DOS puro ;) da li cancelli quello che ti pare, a meno che tu nn abbia la partizione in ntfs che il dos nn legge allora ci vuole un prog particolare che ora nn ricordo ma che sicuramente altri sapranno dirti. Oppure con partition magic, converti un attimo la partizione in fat32 e poi con un dischetto dos cancelli. ma nn è una buona idea questa ;)

Gia' provato, non va.

L'Hiren's boot cd carica l'ntfspro che serve per leggere e modificare file in partizioni NTFS, ma non va cmq.


byezzz

Davide71
26-08-2006, 15.20.48
è proprio per questo motivo che uso ancora la fat32, male che va tengo sempre il dos che mi salva ;)

Ahahaha, bel modo di tutelarsi, col Fat32 rinunci a tanti di quei aspetti positivi che solo l'NTFS da. Aggiornati, sia un boot cd linux che vari software come l'hiren's boot cd e l'Erd Commander (ecc.) possono accedere a partizioni NTFS e modificarle.
Non ricordo se PQMagic puo' riconvertire partizioni NTFS in Fat32 (penso di sì), winxp e win2k pero' no. (attraverso il comando "convert").


byezzz

einemass
26-08-2006, 15.28.30
ma se proprio tu mi stai dicendo che neanche con l' ntfspro sei riuscito a far nulla, io con la fat32 sto a posto, mi basta un floppy fetente nel caso tutto vada a putt :D
cmq nn è per polemica ma li vorrei sapere gli aspetti positivi, perchè effettivamente nn li so. quali sono? stabilità? velocità? o cosa^?
cià
einemass

Davide71
27-08-2006, 06.20.27
http://www.cavone.com/windows_server_blog/119-windows-filesystem-FAT32-NTFS.asp

byezzz

ps= anche una maggiore velocita', oltre all'importante:

http://topolinik.altervista.org/guida/limite.html

Lionsquid
27-08-2006, 08.47.54
Si...anche io ho il problema nella stessa cartella...A dire il vero però non mi ricordo il nome originale, una volta rinominato me ne sono dimenticato...Sophos Antirootkit lo individua come un rootkit...ho provato a fare un controllo con VirusTotal...ma niente...appare pulito...
Non so più che fare, ora proverò erd commander, ma dubito che funzioni...ho provato a fare una cosa simile da linux cambiando i permessi, ma non me li fa cambiare...bhò...
Ciao

gli ultimi 2 post danno i suggerimenti corretti per eliminare il rootkit che ti ha infestato il pc

http://www.wintricks.it/forum/showthread.php?t=109432&page=2

Kionos
27-08-2006, 13.52.13
Una via di mezzo forse c'è... tempo fa ho scovato ZTreeWin (http://www.ztree.com/html/ztreewin.htm) che è la riedizione del vecchio X-Tree Gold per DOS. Magari qualcuno lo ricorda.
Cmq, legge NTFS e riesce a cancellare anche quei file che da XP fanno sempre le pernacchie quando si prova a cancellarli. In pratica lo uso solo per questi casi.
Non è detto che funzioni anche nel tuo... però tentare è gratis! O almeno lo è per 30 giorni! ;)

Arthur85
27-08-2006, 14.58.54
gli ultimi 2 post danno i suggerimenti corretti per eliminare il rootkit che ti ha infestato il pc
http://www.wintricks.it/forum/showthread.php?t=109432&page=2

Hai ragione, il mio problema è identico a quello descritto nel post che hai linkato...Ho seguito i tuoi consigli

è necessario avviare con un cd di servizio, così da non far partire il farabutto.. poi, avendo una traccia di dove è infilato... rimuovere pazientemente i riferimenti e i file
ripeto: avvio da cd (il multipe di wintricks, un bartpe autocostruito, un'hiren's e se il file system non è NTFS potete farlo con un cd di avvio in dos ..ad esempio i miei vecchi cd di servizio che trovate nella sezione articoli)

Ho fatto così, ma anche dal cd di avvio di BartPE non mi consente di eliminanare il file...

rimozione fisica dei link e dei file.... svuotamento temp e roba simile.. scansione con McAfee
poi, solo poi, potete avviare il pc con il SO "on board".. e in mod. provvisoria... per rifinire le ricerche nel registro e nella startup list

Ho trovato anche un servizio che fa riferimento ad un account nascosto...il servizio non riesco a eliminarlo...Ho avviato dalla modalità provvisoria caricando l'account Administrator...ma niente...non riesco a fare nulla neppure da li...

Sono riuscito a cancellare l'account verso cui il file e il servizio sono indirizzati e ad ogni avvio questi non si ripresenta...se carico BartPE, però posso vederlo allora, dato che non potevo cancellare le cartelle...ho cancellato tutti i file e i pochi non cancellabili l'ho aperti con il notebook ho cancellato tutto e ho salvato...

Come devo agire ora?

Ciao

Lionsquid
27-08-2006, 23.57.15
Hai ragione, il mio problema è identico a quello descritto nel post che hai linkato...Ho seguito i tuoi consigli
Ho fatto così, ma anche dal cd di avvio di BartPE non mi consente di eliminanare il file...
Ho trovato anche un servizio che fa riferimento ad un account nascosto...il servizio non riesco a eliminarlo...Ho avviato dalla modalità provvisoria caricando l'account Administrator...ma niente...non riesco a fare nulla neppure da li...
Sono riuscito a cancellare l'account verso cui il file e il servizio sono indirizzati e ad ogni avvio questi non si ripresenta...se carico BartPE, però posso vederlo allora, dato che non potevo cancellare le cartelle...ho cancellato tutti i file e i pochi non cancellabili l'ho aperti con il notebook ho cancellato tutto e ho salvato...
Come devo agire ora?
Ciao


nei post di neddi e giorgius ci sono gli strumenti e le procedure,....

oppure prova con questo, non sempre funziona poichè ci sono diverse varianti con diversi comportamenti..

http://www.viritpro.info/articoli/rootkit_d-e.htm

in ogni caso.. se hai il bartpe, metti virit in una penna usb e dopo avviato il bart lanci virit dalla penna ;)

ricordati che prima devi aggiornarlo, quindi.. o configuri il bart pert la connessione web...oppure installi e aggiorni il virit su un'altro pc e poi ti copi la cartella di virit ;)

la procedura suddetta è stata utilizzata da Sergio Neddi con successo su più macchine, anche su alcune dove era negato l'accesso a qualsiasi account!!

Davide71
28-08-2006, 10.41.54
Ok, grazie mille. Provero'!!


byezzz

Davide71
28-08-2006, 10.44.49
In un link su Wikipedia ho trovato questa paginetta che sembra interessante:

http://www.antirootkit.com/software/index.htm


byezzz

Arthur85
28-08-2006, 10.44.52
nei post di neddi e giorgius ci sono gli strumenti e le procedure,....
oppure prova con questo, non sempre funziona poichè ci sono diverse varianti con diversi comportamenti..
http://www.viritpro.info/articoli/rootkit_d-e.htm
in ogni caso.. se hai il bartpe, metti virit in una penna usb e dopo avviato il bart lanci virit dalla penna ;)
ricordati che prima devi aggiornarlo, quindi.. o configuri il bart pert la connessione web...oppure installi e aggiorni il virit su un'altro pc e poi ti copi la cartella di virit ;)
la procedura suddetta è stata utilizzata da Sergio Neddi con successo su più macchine, anche su alcune dove era negato l'accesso a qualsiasi account!!
La procedura ha avuto buon esito! Grazie mille! Sono riuscito a eliminare il rootkit C:\: pesse.bmp....
Già prima ero riuscito a cancellare il file incancellabile con un tool veramente forte: http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
Facendo partire BartPE poi ho lanciato come hai detto VirIT e il rootkit è stato cancellato...
- Il servizio di sistema non c'è più
- l'account misterioso non c'è più
- Tuttavia permane la certella dell'account fantasma....(come posso agire?)

sono a posto ora?
Ciao

Lionsquid
28-08-2006, 13.55.41
la cartella dell'account la puo cancellare in modalità provvisoria entrando come Amministratore... (forse, si può fare direttamente dalla modalità normale... )

thx pe rla segnalazione del tool della NOD ( in queste ore si moltiplicano a dismisura tools e suggerimenti... la reazione delle case AV doveva arrivare)

Arthur85
28-08-2006, 15.23.30
la cartella dell'account la puo cancellare in modalità provvisoria entrando come Amministratore... (forse, si può fare direttamente dalla modalità normale... )
thx pe rla segnalazione del tool della NOD ( in queste ore si moltiplicano a dismisura tools e suggerimenti... la reazione delle case AV doveva arrivare)
Ciao, come prima cosa ti ringrazio nuovamente di tutti i consigli...tuttavia i miei problemi non sono finiti...da modalità provvisoria la cartella non si vede (ovviamente ho impostato la visione di file/cartelle nascoste)...ho provato con BartPE e Knoppix, da entrambi la cartella si vede, ma no è eliminabile...
Ora provo a usare avenger e impostare lo script in modalità provvisoria...vediamo se riesco a fare qualcosa....
Ciao
***NEWS***
Inserisco il link di un file di testo nel quale faccio il resoconto del mio problema...se qualcuno ha un'idea, anche pallida, mi faccia sapere...Ciao
http://databasefile.altervista.org/problema.rtf [Salva con nome]