Rootkit TDSServ.sys

[Lionsquid]

Ciao a tutti,

dopo anni di successi è arrivato il primo insuccesso nella rimozione di un maledetto rootkit, (nemmeno tanto recente), il TDSServ.sys...

nonostante abbia usato la collaudata procedura GMER/AVENGER , quest'ultimo non riesce a togliere tutto e al riavvio si ripristina tutto (o quasi)

e mi fa incazzare, perchè con questa procedura sto farabutto l'ho già debellato su altre macchine

sospetto sia qualche recente variante....

combofix non si avvia, nemmeno rinominato
smitfraud non trova nulla
SDFix non serve
hijackthis non elenca nulla di anormale

con runscanner trovo delle voci strane ma non sono legate al TDS,... le chiavi di registro vengono rimosse, ma probabilmente non tutte e non ho identificato quale chiave è la responsabile del "ripristino" del servizio TDSServ.sys

col bartpe rimuovo senza problemi i file, ma quella chiave.....

qualcuno ha avuto esperienze simili con sto farabutto di TDSServ??
conoscete qualche altro tools che mi possa permettere di segare definitivamente il processo "padre"??

thx 1000

[LoryOne]

Soluzione della vecchia volpe Lory:
1 - Cerca su Internet di quali e quanti files si compone il virus. (Anche varianti precedenti a quella che ritieni sia la più recente)
2 - Procurati un disco di boot con DOS
3 - Se la tua FAT è NTFS, scaricati da Antivir (per esempio) l'applictivo per ottenere accesso in lettura/scrittura da DOS su NTFS
4 - Digita i comandi DOS per spostarti nella directory (o cartella) che contiene i files infetti e cancellali.
Se sono files di sistema, sostituiscili con quelli non infetti.
5 - Entra in modalità provvisoria ed esegui un pulitore di registro.
OCCHIO alle chiavi che propone di eliminare. Fallo con sale in zucca.

[leofelix]

potresti provare prima col Navilog

http://www.steven.altervista.org/files/tools1.html

info sul trojan:

http://www.nod32.it/threat-center/en...a1.php?id=1889

e anche provare con SystemScan che trovi qui

http://www.suspectfile.com/forum/viewtopic.php?t=466

e dare un'occhiata qui

http://www.suspectfile.com/forum/vie...php?f=4&t=2616

se già non lo hai fatto

P.S anche il MalwareBytes'AntiMalware dovrebbe aiutare

[LoryOne]

Hello felix
Ormai ti conosco come "prendo nota". Cribbio se ne conosci di AV !!!

[leofelix]

Quota:

Inviato da LoryOne

Hello felix

Eccellente, Hello Felix da questo momento va nella mia firma su wintricks

[cascavel]

Quota:

Inviato da Lionsquid

Ciao a tutti,

dopo anni di successi è arrivato il primo insuccesso nella rimozione di un maledetto rootkit, (nemmeno tanto recente), il TDSServ.sys...

nonostante abbia usato la collaudata procedura GMER/AVENGER , quest'ultimo non riesce a togliere tutto e al riavvio si ripristina tutto (o quasi)

e mi fa incazzare, perchè con questa procedura sto farabutto l'ho già debellato su altre macchine

sospetto sia qualche recente variante....

combofix non si avvia, nemmeno rinominato
smitfraud non trova nulla
SDFix non serve
hijackthis non elenca nulla di anormale

con runscanner trovo delle voci strane ma non sono legate al TDS,... le chiavi di registro vengono rimosse, ma probabilmente non tutte e non ho identificato quale chiave è la responsabile del "ripristino" del servizio TDSServ.sys

col bartpe rimuovo senza problemi i file, ma quella chiave.....

qualcuno ha avuto esperienze simili con sto farabutto di TDSServ??
conoscete qualche altro tools che mi possa permettere di segare definitivamente il processo "padre"??

thx 1000

scarica nuovamente combofix sul desktop, rinominalo prima di scaricarlo sul desktop in 123.exe una volta sul desktop non cliccare l'icona: start, esegui, copia ed incolla questo comando in esegui
"%userprofile%\desktop\123.exe" /killall <==copialo ed incollalo

premi OK e lascialo lavorare , anche se sembra che non stia facendo niente, fino a che il pc si riavviera'.

p.s. buona anche l'idea di systemscan, navilog non ha possibilita' di eliminarlo.

[Lionsquid]

ok, preso nota dei vs. suggerimenti..

ho già usato il bartpe, ma anche caricado lo hive dell'utente non trova tutte le chiavi....

sgrufolando sul web ho trovato info abbastanza variegate sul TDSS, systemscan compreso ;-), infine mi sono fatto un bel txt da dare in pasto "tout court" ad avenger

malwarebytes non parte, nè normale , nè rinominato

interessante il suggerimento di cascavel, quella istruzione non la conoscevo, proverò anche quella


appuntamento a martedì sera (eh si, sia io che il "cliente" abbiamo altri impegni), vi terrò informati sui risultati

thx 1000 a tutti

[Kurtferro]

prova combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[cascavel]

Quota:

Inviato da Kurtferro

prova combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ciao kurt, lo dice nel primo post combofix normalmente non parte neanche rinominato...

[leofelix]

Quota:

Inviato da Lionsquid

appuntamento a martedì sera (eh si, sia io che il "cliente" abbiamo altri impegni), vi terrò informati sui risultati thx 1000 a tutti

mi chiedo se entro martedì ("cliente" permettendo) ti potrà eventualmente tornare utile l'utilizzo di Avira Rescue CD - megalab.it (R)

Nel caso con tutti gli altri suggerimenti non sia riuscito a debellare questa rootkit e relative tracce da quel sistema, intendo

a presto

[Lionsquid]

Quota:

Inviato da leofelix

mi chiedo se entro martedì ("cliente" permettendo) ti potrà eventualmente tornare utile l'utilizzo di Avira Rescue CD - megalab.it (R)

Nel caso con tutti gli altri suggerimenti non sia riuscito a debellare questa rootkit e relative tracce da quel sistema, intendo

a presto

(Y) vedremo!

[cippico]

la cosasi fa interessante...attendo anche io incuriosito...

ciaooo a tutti

[RNicoletto]

Visto che si tratta di un rootkit piuttosto ostico mi permette di suggerirti un paio di tool non convenzionali: Rootkit Unhooker e RootRepeal.

Forse il loro utilizzo non è immediato ma sono decisamente più tecnologicamente avanzati rispetto ai vari tool anti-rootkit/anti-malware di uso comune e risultano più aggiornati rispetto a GMER.

[Lionsquid]

Quota:

Inviato da RNicoletto

Visto che si tratta di un rootkit piuttosto ostico mi permette di suggerirti un paio di tool non convenzionali: Rootkit Unhooker e RootRepeal.

Forse il loro utilizzo non è immediato ma sono decisamente più tecnologicamente avanzati rispetto ai vari tool anti-rootkit/anti-malware di uso comune e risultano più aggiornati rispetto a GMER.

presi e messi in saccoccia, html compreso

[leofelix]

come è andata a finire se è lecito chiedere?