Rootkit
La piaga del nuovo millennio.
Come riconoscerli e come eliminarli
Il rootkit piu insidioso dell'anno 2006. Come riconoscerlo e come rimuoverlo
Analisi e rimozione

Tools Specifici




SDFix é stato creato da AndyManchesta e si occupa di eliminare numerosi files infetti oltre che a ripulire il sitema da processi e servizi infetti collegati a malware e infezioni varie.

Inoltre permette di;
  • identificare alcuni rotkits
  • listare file e processi nascosti
  • ripristinare i parametri del sistema alterati dal malware stesso


  • Download

    Licenza : Freeware
    OS suppportati: 2000/XP

    Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
    Cliccate su Install (verrà creata una cartella alla radice dell'HD dal nome SDFix)
    Finita l'installazione riavviate il sistema in modalità provvisoria (indispensabile per fare in modo che il tool agisca correttamente)
    Una volta in modalità provvisoria;
  • fate un doppio click sul file RunThis.bat
  • selezionate Y
  • premete il tasto ENTER della vostra tastiera per lanciare la pulizia.
  • Pazientate qualche attimo e il tool vi chiederà di premere un tasto per riavviare.
    Al riavvio SDFix porterà a termine la procedura e visualizzerà un messaggio nel quale indica la fine della pulizia e l'opzione per visualizzare il log.
    (SDFIx ha anche altre opzioni ma non è il caso di elencarle)
    ____________________________________



    Combofix é uno strumento creato da sUBS che si occupa di scansionare il sistema alla ricerca di malware conosciuto. Elimina infezioni specifiche quali Vundo,SurfSideKick, Look2Me,QooLogic etc...
    La sua potenza é data da diversi fattori;

    - Il continuo aggiornamento del suo database
    - La presenza del modulo catchme di GMER ( in grado di scovare file con attribbuto nascosto )
    quindi i rootkit come il famoso Bagle
    - La presenza del modulo AWF, in grado di segnalare la presenza del Trojan.Win32.Obfuscated.dr
    (le famose cartelle bak)
    - Il rilascio ,a fine lavoro, di un log molto dettagliato, che oltre a visualizzare le infezioni rimosse, offre una grande quantità di dati utilizzabili da un esperto per scovare altre eventuali infezioni non rimosse automaticamente dal tool

    Oltre a questo, combofix,
    - esegue un backup delle voci rimosse (X:\QooBox)
    - Crea un punto di ripristino sistema e registro
    - Killa il processo explorer
    - disattiva la connessione
    e solo dopo comincia il suo lavoro.

    Vediamo com usarlo

    - Disconnetevi da internet (modem spento o cavetto staccato)
    - Disattivate Antivirus e Firewall
    - Se usate XP , doppio click su Combofix.exe
    - Se usate Vista , tx destro su combofix "esegui come amministratore"



    - Verra visualizzato l'avviso di editore sconosciuto,cliccate su esegui
    - Si aprirà una finestra blu....Attendere....
    - Dopo qualche attimo apparirà l'avviso che declina l'autore da ogni problema legato ad una errata utilizzazione del tool. Cliccate su SI
    - Attendere...combofix prepara il suo avvio ...
    - Riceverete l'avviso che la console non é installata, cliccate su NO
    - A questo punto combofix crea un punto di ripristino e comincerà l'analisi
    - Attendere.... NON usate il pc
    - Un avviso vi segnalerà la fine dell'operazione e dopo qualche attimo apparirà il log con i dettagli dello scan.
    - IL log verrà memorizzato in C:\Combofix.txt
    Postatelo sul forum se vi é stato richiesto

    Ho lasciato queste info per la fine, in quanto é un operazione molto delicata.
    Combofix infatti possiede anche un utility ,che se usata da un esperto, é in grado di eliminare,mediante uno script creato manualmente ad hoc, file,cartelle e chiavi di registro bloccati e non eliminabili altrimenti.
    Ecco un esempio dello script:

    Driver::
    iihimapf

    File::
    C:\WINDOWS\system32\bgxfyzug.dat
    C:\WINDOWS\system32\d3d9n.dll
    C:\WINDOWS\system32\drivers\iihimapf.sys

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23BDA238-71AB-44A2-A687-C96C9D3BF99A}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tkqgcmhs]

    Una volta preparato lo script basta trascinarlo sull'icona di combofix



    ATTENZIONE: non eseguite lo script se non siete sicuri di quello che fate


    Download

    Licenza : Freeware
    OS suppportati: 2000/XP/Vista

    ____________________________________



    Clean è stato creato da Malekal Morte.
    Esso permette di controllare e di eliminare eventuali file infetti presenti nel sistema.

    Download

    Licenza : Freeware
    OS suppportati: 2000/XP

    Dopo averlo scaricato e decompresso vi ritroverete una cartella contenente la cartella Clean
    Apritela e con un doppio click eseguite il file clean.cmd



    Si aprirà una console nera con le opzioni offerte dal tool
    Per cercare gli oggetti infetti,cliccate 1 sulla vostra tastiera e premete il tasto ENTER per lanciare lo scan.
    Attendere.....
    Alla fine il tool vi propone di aprire il log con il risultato dell'analisi,per farlo premete il tasto ENTER.

    Per eliminare eventuali infezioni trovate da Clean;
  • avviate il sistema in modalità provvisoria
  • aprite la cartella Clean e con un doppio click eseguite nuovamente il file Clean.cmd
  • Questa volta nella console nera inserite il numero 2 e premete il tasto ENTER
  • Attendere....
  • Quando vi sarà chiesto,premete un tasto qualsiasi e Clean avvierà la pulizia dei file infetti
  • Alla fine,come nella prima fase,il tool vi chiederà di premere un tasto per visualizzare il log con i risultati dell'operazione. Il log verrà comunque salvato alla radice del disco con il nome di rapport_clean.txt (ex : C:\rapport_clean.txt).
    ____________________________________



    Tool per il trattamento di infezioni quali Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound, SpyFalcon, AlfaCleaner etc...

    Licenza : Freeware
    OS suppportati: 2000/XP/

    Download

    Vediamo come utilizzarlo:
  • Doppio click su smitfraudfix.exe
  • Premete un tasto per continuare per arrivare alle opzioni offerte dal tool
  • Per avviare la ricerca selezionate 1 e premete il tasto ENTER della vostra tasiera




  • Finita la ricerca verrà visualizzato un log con i risultati dell'analisi che verrà automaticamente salvato alla radice del disco con il nome di rapport.txt
    Per eliminare eventuali minacce riscontrate dal tool procedete in questo modo:
  • Riavviate in modalità provvisoria
  • Riavviate con un doppio click Smitfraudfix.exe
  • Questa volta selzionate 2 e premete ENTER
  • ATTENZIONE Il desktop sparirà
  • Alla domanda Do you want to clean the registry? rispondete Y (si)
  • Se il fix determinerà che il file wininet.dll è infetto vi chiederà se disinfettarlo, rispondete si anche qui

  • Per terminare il processo di pulizia vi verrà richiesto un riavvio,quindi premere un tasto e il sistema sarà riavviato



    Il log che dettaglia le infezioni eliminate si trova alla radice del disco (C:\rapport.txt)
    Smitfraud ha anche un opzione per cancellare la lista dei siti sensibili e di fiducia.Per farlo selezionate il numero 3 e premete ENTER

    Continua......


    Welcome:
    Mi chiamo Maurizio ed ho 29 anni. Ho fatto questo piccolo e semplice sito per aiutare gli amici e per chiunque ne volesse usufruire . Non sono un professionista , la mia è pura passione , quindi mi scuso in anticipo per gli eventuali piccoli errori,o omissioni presenti nelle guide
    Buona navigazione !!!