PDA

Visualizza versione completa : ancora tracce di rootkit...


k501
18-05-2007, 16.51.33
Mi ritrovo a ripulire l'ennesimo pc attaccato da rootkit! Ebbene, con varie patch ho eliminato linkoptimizer, ma vedo ancora tracce o la presenza di un altro rootkit. dalla lista dei servizi (start\esegui\services.msc) trovo "sysbrg" che è impossibile disattivare e non compare come servizio locale, bensì genera un nome alfanumerico casuale. Allo stesso tempo crea una cartella nei profili con lo stesso nome alfanumerico. Il servizio punta ad un eseguibile in c:\programmi\PWBAE.exe. Ho provato di tutto: gmer, avenger, icesword, reanimator, ma il file non è rintracciabile e neppure le patch classiche di rimozione riescono ad individuare l'infezione e toglierla. Ho provato anche eliminando le chiavi di registro una ad una, ma è impossibile, neppure resettando i diritti di accesso completo sulle chiavi stesse!
Idee? Qualcos'altro come alternativa per snidarlo?
:wall:

k501
18-05-2007, 18.14.23
Intervento concluso!
Sono riuscito ad eliminare il servizio utilizzando sempre "reanimator" (stand alone), solo che invece di clickkare su "scan for viruses" ho chiuso la finestra e in quella sottostante ho selezionato il tab "NT services". Dalla lista mi sono spostato sul servizio, l'ho fermato ed eliminato. Al riavvio non è più presente dalla lista servizi e non ricrea la cartella in documents and settings. Il passo successivo è stato quello di eliminare i files infetti manualmente, che (fatalità!!) spuntavano come funghi (in system\drivers).
Segnalo così la cosa, in caso tornasse utile anche a qualcun altro...
ciao