|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
05-02-2009, 20.24.24 | #1 |
Gold Member
Top Poster
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
|
Rootkit TDSServ.sys
dopo anni di successi è arrivato il primo insuccesso nella rimozione di un maledetto rootkit, (nemmeno tanto recente), il TDSServ.sys... nonostante abbia usato la collaudata procedura GMER/AVENGER , quest'ultimo non riesce a togliere tutto e al riavvio si ripristina tutto (o quasi) e mi fa incazzare, perchè con questa procedura sto farabutto l'ho già debellato su altre macchine sospetto sia qualche recente variante.... combofix non si avvia, nemmeno rinominato smitfraud non trova nulla SDFix non serve hijackthis non elenca nulla di anormale con runscanner trovo delle voci strane ma non sono legate al TDS,... le chiavi di registro vengono rimosse, ma probabilmente non tutte e non ho identificato quale chiave è la responsabile del "ripristino" del servizio TDSServ.sys col bartpe rimuovo senza problemi i file, ma quella chiave..... qualcuno ha avuto esperienze simili con sto farabutto di TDSServ?? conoscete qualche altro tools che mi possa permettere di segare definitivamente il processo "padre"?? thx 1000
___________________________________
... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo |
05-02-2009, 21.04.02 | #2 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Soluzione della vecchia volpe Lory:
1 - Cerca su Internet di quali e quanti files si compone il virus. (Anche varianti precedenti a quella che ritieni sia la più recente) 2 - Procurati un disco di boot con DOS 3 - Se la tua FAT è NTFS, scaricati da Antivir (per esempio) l'applictivo per ottenere accesso in lettura/scrittura da DOS su NTFS 4 - Digita i comandi DOS per spostarti nella directory (o cartella) che contiene i files infetti e cancellali. Se sono files di sistema, sostituiscili con quelli non infetti. 5 - Entra in modalità provvisoria ed esegui un pulitore di registro. OCCHIO alle chiavi che propone di eliminare. Fallo con sale in zucca. Ultima modifica di LoryOne : 05-02-2009 alle ore 21.10.16 |
05-02-2009, 21.10.23 | #3 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
potresti provare prima col Navilog
http://www.steven.altervista.org/files/tools1.html info sul trojan: http://www.nod32.it/threat-center/en...a1.php?id=1889 e anche provare con SystemScan che trovi qui http://www.suspectfile.com/forum/viewtopic.php?t=466 e dare un'occhiata qui http://www.suspectfile.com/forum/vie...php?f=4&t=2616 se già non lo hai fatto P.S anche il MalwareBytes'AntiMalware dovrebbe aiutare |
05-02-2009, 21.13.54 | #4 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Hello felix
Ormai ti conosco come "prendo nota". Cribbio se ne conosci di AV !!! |
05-02-2009, 21.17.14 | #5 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
|
|
05-02-2009, 23.13.41 | #6 | |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
Quota:
"%userprofile%\desktop\123.exe" /killall <==copialo ed incollalo premi OK e lascialo lavorare , anche se sembra che non stia facendo niente, fino a che il pc si riavviera'. p.s. buona anche l'idea di systemscan, navilog non ha possibilita' di eliminarlo.
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" |
|
05-02-2009, 23.51.26 | #7 |
Gold Member
Top Poster
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
|
ok, preso nota dei vs. suggerimenti..
ho già usato il bartpe, ma anche caricado lo hive dell'utente non trova tutte le chiavi.... sgrufolando sul web ho trovato info abbastanza variegate sul TDSS, systemscan compreso ;-), infine mi sono fatto un bel txt da dare in pasto "tout court" ad avenger malwarebytes non parte, nè normale , nè rinominato interessante il suggerimento di cascavel, quella istruzione non la conoscevo, proverò anche quella appuntamento a martedì sera (eh si, sia io che il "cliente" abbiamo altri impegni), vi terrò informati sui risultati thx 1000 a tutti
___________________________________
... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo |
06-02-2009, 00.34.39 | #8 |
Forum supporter
Registrato: 08-04-2005
Loc.: Crema
Messaggi: 1.570
|
prova combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe |
06-02-2009, 00.59.45 | #9 | |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
Quota:
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" |
|
06-02-2009, 01.46.25 | #10 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
Nel caso con tutti gli altri suggerimenti non sia riuscito a debellare questa rootkit e relative tracce da quel sistema, intendo a presto Ultima modifica di leofelix : 06-02-2009 alle ore 01.57.11 |
|
06-02-2009, 07.39.54 | #11 | |
Gold Member
Top Poster
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
|
Quota:
(Y) vedremo!
___________________________________
... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo |
|
06-02-2009, 08.07.15 | #12 |
Depeche Mode Fan
Top Poster
Registrato: 18-12-2000
Loc.: Bolzano
Messaggi: 8.872
|
la cosasi fa interessante...attendo anche io incuriosito...
ciaooo a tutti
___________________________________
DEPECHE MODE e WINTRICKS DIPENDENTE - Il mio sito : HTTP://CIPPICO.ALTERVISTA.ORG Date anche uno sguardo ai miei articoli sul sito MegaLab.it... ...CLICCANDO QUI ...spero possano esservi utili . |
06-02-2009, 10.49.55 | #13 |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
Visto che si tratta di un rootkit piuttosto ostico mi permette di suggerirti un paio di tool non convenzionali: Rootkit Unhooker e RootRepeal.
Forse il loro utilizzo non è immediato ma sono decisamente più tecnologicamente avanzati rispetto ai vari tool anti-rootkit/anti-malware di uso comune e risultano più aggiornati rispetto a GMER.
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
06-02-2009, 17.02.44 | #14 | |
Gold Member
Top Poster
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
|
Quota:
presi e messi in saccoccia, html compreso
___________________________________
... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo |
|
12-02-2009, 06.54.32 | #15 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
come è andata a finire se è lecito chiedere?
|
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Rilevabilità dei rootkit da un sistema non infetto? | exion | Sicurezza&Privacy | 7 | 05-06-2008 04.04.35 |
Rootkit MBR:\\.\PHYSICALDRIVE0 | ottobre_rosso | Sicurezza&Privacy | 23 | 30-05-2008 15.04.47 |
[Ms WinVista] - Un rootkit invisibile persino a vista | realtebo | Segnalazioni Web | 0 | 06-07-2006 07.35.19 |
L. Rootkit Remover | Macao | Archivio News Software | 0 | 01-01-2006 00.00.48 |