Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

rootkit unreal.sys

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

rootkit unreal.sys

Messaggioda nicola82 » mer lug 30, 2008 10:33 am

ho fatto una scansione con prevxcsi e mi ha trovato questo rootkit nascosto (posso rimuoverlo solo pagando la licenza)...
con gmer tasto dx, elimina ma purtroppo non è così facile e bello come potevo immaginare..
mi ritrovo con quest'infezione che praticamente mi blocca anche la scansione con nod32.. come si rimuove questa infezione?

dal registro ho già eliminato le chiavi corrispondenti..
Avatar utente
nicola82
Aficionado
Aficionado
 
Messaggi: 75
Iscritto il: lun mar 05, 2007 8:17 pm

Messaggioda gio! » mer lug 30, 2008 11:16 am

Sei infetto. Da hijackthis fixa:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://controlpage.info/
O1 - Hosts: 85.25.94.30 www.poigps.com
O4 - HKLM\..\Run: [LaserKeyDaemon] "C:\Programmi\Lasersoft\Hotel Automation\LaserKeyDaemon.exe"
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe

Fai controllare su www.virustotal.com questi due file:
C:\Programmi\Lasersoft\Hotel Automation\LaserKeyDaemon.exe
C:\WINDOWS\system32\fservice.exe
e posta i link con i risultati.
Dimmi anche il percorso di quel file nel titolo e fai controllare anche quello su virustotal anche se dovrebbe essere maligno.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda nicola82 » mer lug 30, 2008 11:21 am

C:\Programmi\Lasersoft\Hotel Automation\LaserKeyDaemon.exe è il daemon del mio software gestionale, ed è pulito. Fservice non ce l'ho sul pc...
ho fixato da hj quello che mi hai detto, ho riavviato ma prevxcsi mi rileva ancora il rootkit hidden :c:\unreal.sys
Avatar utente
nicola82
Aficionado
Aficionado
 
Messaggi: 75
Iscritto il: lun mar 05, 2007 8:17 pm


Messaggioda gio! » mer lug 30, 2008 12:16 pm

nicola82 ha scritto:C:\Programmi\Lasersoft\Hotel Automation\LaserKeyDaemon.exe è il daemon del mio software gestionale, ed è pulito. Fservice non ce l'ho sul pc...
ho fixato da hj quello che mi hai detto, ho riavviato ma prevxcsi mi rileva ancora il rootkit hidden :c:\unreal.sys

Hai fatto controllare gli altri file?
Scarica avenger da qui http://swandog46.geekstogo.com/avenger2/download.php avvialo e nella casella bianca copia/incolla:

Files to delete:
C:\unreal.sys

premi execute, fai riavviare il pc e posta il log che comparirà.
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm

Messaggioda nicola82 » mer lug 30, 2008 3:02 pm

niente... vedi il log/screenshot allegato

nn ce ne usciamo... [cry+] [cry+] [cry+]
Avatar utente
nicola82
Aficionado
Aficionado
 
Messaggi: 75
Iscritto il: lun mar 05, 2007 8:17 pm

Messaggioda crazy.cat » mer lug 30, 2008 3:36 pm

Dalla foto non si capisce moltissimo, ma sembra che non abbia trovato il file.

E' quasi sicuramente sbagliato, ma prova con questo script.

Files to delete:
C:\:unreal.sys


Segui queste istruzioni senza allegare i file alle discussioni:

Come allegare i log
http://www.MegaLab.it/forum/viewtopic.php?t=42331

come fare gli screenshot
http://www.MegaLab.it/2995

come allegare le foto
http://www.MegaLab.it/2995/2
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda nicola82 » mer lug 30, 2008 4:49 pm

non lo trova il file
e ad ogni avvio prevxcsi mi rileva l'infezione..

comunque il file di word puoi zooomarlo e si vede il problema..
Avatar utente
nicola82
Aficionado
Aficionado
 
Messaggi: 75
Iscritto il: lun mar 05, 2007 8:17 pm

Messaggioda crazy.cat » mer lug 30, 2008 5:07 pm

scaricati un qualche cd live di linux fai il boot con quello e vedi se riesci a cancellare a mano il file infetto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda nicola82 » mer lug 30, 2008 5:15 pm

ma quel file lo trovo sulla root di c???
Avatar utente
nicola82
Aficionado
Aficionado
 
Messaggi: 75
Iscritto il: lun mar 05, 2007 8:17 pm

Messaggioda crazy.cat » mer lug 30, 2008 5:20 pm

nicola82 ha scritto:ma quel file lo trovo sulla root di c???

si.
Visto avenger non riesce ad eliminarlo, l'unico modo da provare e vedere di prenderlo alle spalle agendo fuori dal tuo sistema operativo.
sperando di riuscire a vederlo da un cd linux.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda nicola82 » mer lug 30, 2008 5:39 pm

possibile che nessuno lo ha beccato sto rootkit??
e se linux non lo trova???
Avatar utente
nicola82
Aficionado
Aficionado
 
Messaggi: 75
Iscritto il: lun mar 05, 2007 8:17 pm

Messaggioda crazy.cat » mer lug 30, 2008 5:42 pm

nicola82 ha scritto:e se linux non lo trova???

Sono azzi amari...

Sei in grado di preparare il megalabcd?
http://www.MegaLab.it/2726
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda nicola82 » gio lug 31, 2008 7:52 am

avevo sotto mano la backtrack ma non mi trova/cancella nulla..
che live mi consigliate che funziona??
Avatar utente
nicola82
Aficionado
Aficionado
 
Messaggi: 75
Iscritto il: lun mar 05, 2007 8:17 pm

Messaggioda gio! » gio lug 31, 2008 10:13 am

nicola82 ha scritto:avevo sotto mano la backtrack ma non mi trova/cancella nulla..
che live mi consigliate che funziona??

Ubuntu [;)]
Avatar utente
gio!
Senior Member
Senior Member
 
Messaggi: 275
Iscritto il: sab gen 19, 2008 3:13 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 13 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising