PDA

Visualizza versione completa : Come eliminare un rootkit????


getsgets1
07-09-2007, 08.59.03
Con l'antirootkit della macAfee ho scoperto di avere questo file infetto:
C:\system\volume information\catalog.wci.ren
Il rootkit viene rinominato ma purtroppo dopo il riavvio si ripresenta.
L'effetto devastante è quello di "gonfiare" il disco C. Per ora ho rimediato con Acronis trueimage, ma temo che sia anche nel backup. Che devo fare per eliminarlo definitivamente?
Fatemi sapere perchè sono veramente disperato :wall: !!!
Grazie e saluti

crazy.cat
07-09-2007, 09.07.06
Quella cartella è il ripristino della configurazione che contiene i vari punti di salvataggio.
Basterebbe disabilitarlo, riavviare il pc in modo da cancellarlo.

Poi ho trovato queste discussioni, sei sicuro che non sia un falso allarme?
http://forum.sysinternals.com/forum_posts.asp?TID=11806
http://forum.sysinternals.com/forum_posts.asp?TID=9111&PN=1

getsgets1
07-09-2007, 09.43.14
Proverò a fare come indicato. Nel mio caso c'è anche un .REN finale.
Un'altra domanda: come mai mcafee (McafeeRootkitDetective) me lo segnala come rootkit?

crazy.cat
07-09-2007, 09.59.54
.ren = rinominato ????
Il rootkit viene rinominato

Alcuni antirootkit segnalano daemon tools come rootkit.
questi programmi leggono le attività nascoste fatte da questi file/programmi, evidentemente quel file compie qualche attività che al Mcafee non risulta "simpatica".

Prova a vedere se gmer ti segnala qualche voce in rosso.