Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE SEZIONE NEWS WEB NEWS SOFTWARE PUBBLICITA'
GROMOZON e DINTORNI - W32 ROOTKIT

Oltre al rootkit (che è la componente più bastarda) è opportuno cancellare sia l'utente fantasma che i file crittografati ed il servizio che li lancia.
Non è però molto semplice.

Una volta tolta di mezzo la chiave di registro che avvia il rootkit, per cancellare il file del rootkit vero e proprio, è necessario andare (sempre da MultiPE ) alla linea di comando e per prima cosa rinominare il file, in pratica bisogna digitare:

ren [percorso\nome rootkit] zzz.kkk

dove [percorso\nome rootkit] è il percorso\nome file letto dal file di log del mio batch, nell'esempio sarà:

ren \\?\C:\WINDOWS\system32\com2.mwl zzz.kkk

Questo perché il nome "bastardo" del file potrebbe impedirci l'eliminazione nella maniera classica.
Notare la sintassi speciale, \\?\ all'inizio del percorso (si può usare anche \\.\). Serve ad impedire il controllo dei nomi riservati e quindi a consentire l'accesso al file che altrimenti sarebbe impossibile.
Una volta rinominato in zzz.kkk, il file dovrebbe essere cancellabile normalmente, se non lo è allora eseguire la seguente procedura, purtroppo non molto semplice, anche se veloce da eseguirsi.
Cliccare con il tasto destro il file e scegliere Proprietà , quindi la linguetta Protezione . In basso a destra c'è il tasto Avanzate . Cliccare la linguetta Proprietario e scegliere SYSTEM (se eseguite questo da MultiPE ) oppure Administrators o l'utente corrente (se eseguite da Windows ). Date Ok a tutto in modo da uscire dalle proprietà, quindi rientrate nuovamente nelle proprietà, linguetta Protezione , cliccate il tasto Aggiungi ed inserite Everyone , poi spuntate Controllo completo , quindi date Ok.
A questo punto il file dovrebbe essere cancellabile, sennò andate nuovamente in proprietà e togliete i flag di nascosto e sola lettura.
La cosa potrebbe essere leggermente differente se, al contrario dell'esempio proposto, il file utilizza ADS invece di un nome riservato.
In tal caso il percorso non inizia con \\?\ ma potrebbe essere simile al seguente:

C:\Windows\System32:[nome casuale] oppure C:\:[nome casuale], cioè contiene un due punti prima del nome del file, che risulterà invisibile.

Se è così la rimozione dev'essere fatta in modo differente. Si può usare HiJackThis, selezionando "Open the Misc Tools selection" -> "Open ADS Spy...", togliere la spunta su "Quick scan (Windows base folder only)" e quindi cliccare su scan. Alla fine della scansione si potrà selezionare il file maledetto nella lista e lo si potrà rimuovere cliccando "Remove selected". Volendo si può usare anche ADSSpy per fare lo stesso lavoro.

Ora è opportuno togliere i file relativi all'utente nascosto, ha un nome casuale e si trova in C:\Documents and settings . Da MultiPE dovrebbe essere visibile senza sorprese e quindi cancellabile senza problemi. Non cancellate la cartella sbagliata!
Rimangono da cancellare i file relativi al servizio nascosto. Potrebbe essercene uno o più, di solito crittografati, ma non è detto che lo siano tutti. Bisogna guardare in C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File comuni\Microsoft Shared o C:\Programmi\File comuni\Services . Io per sicurezza faccio una scansione con ScanGUI (la shell per il BartPE dello scanner Mcafee a linea di comando). Questo probabilmente non riconosce i file crittografati come virali ma li segnala perché non riesce ad aprirli, così alla fine della scansione trovo nel file di log dove sono.
Per eliminarli bisogna agire come riportato sopra per il file del rootkit, cioè bisogna cliccarci di destro, scegliere proprietà, ecc... in modo da rendere proprietario l'utente SYSTEM e poter quindi cancellarli. Normalmente è possibile fare questo selezionando i vari file tutti in una volta, se non risultasse possibile bisognerà ripetere la procedura file per file.
Una volta finito questo si potrà riavviare il PC in modo normale.
Ma non è finita.

Da Start -> Esegui digitare:

control userpasswords2

selezionare (se appare) l'utente fantasma con nome casuale e cancellarlo.
Andare in pannello di controllo e vedere se appare nella lista dei programmi installati una voce riguardante Linkoptimizer. Se appare (mi è successo solo in un paio di casi) NON rimuoverla da installazione applicazioni ma utilizzare un programma alternativo per rimuovere questa voce, come ad esempio l'apposita funzione di SpyBot S&D oppure MyUninstaller della Nirsoft od ancora il buon vecchio RegCleaner 4.3 presente in Pulizia . Andare nella linguetta "Menù Disinstallazione", selezionare la voce incriminata e cliccare "Rimuovi i selezionati". E' possibile anche usare HiJackThis scegliendo l'opzione "Open the Misc Tools section" e poi "Open Uninstall Manager". Qui è possibile selezionare la voce da togliere e poi cliccare "Delete this entry", ma non ho mai provato.
Ora andiamo in " Pannello di controllo " -> " Strumenti di amministrazione " -> " Servizi " e cerchiamo il servizio fantasma. Bisogna guardare nella colonna " Connessione ", se un servizio appare avviarsi come ".\[nome casuale]" allora è il nostro.

<< Pagina 4 Pagina 6 >>

 In evidenza Registrare la TV da iPhone e iPad



Nel Web in WinTricks
Copyright © 1999-2012 Master New Media s.r.l. p.iva: 02947530784
COPYRIGHT . PRIVACY . REDAZIONE . STORIA . SUPPORTA
 

Warning: include(/mnt/host/www/wintricks/wintricks.it/www/bottom.php) [function.include]: failed to open stream: Permission denied in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon5.html on line 189

Warning: include() [function.include]: Failed opening '/mnt/host/www/wintricks/wintricks.it/www/bottom.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon5.html on line 189