Come rimuovo un kit di root da Windows XP? [duplicare]


1

Possibile duplicato:
come posso eliminare spyware, malware, virus o rootkit dannosi dal mio PC?

Stavo cercando i kit root seguendo queste istruzioni http://computersight.com/software/how-to-manually-remove-rootkit/ e ho visto questo nel mio registro di avvio:

Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS

Ho provato a cercare quel nome file in Google ma non è stato trovato assolutamente nulla. Ho provato a guardare il file sul disco ma non sono riuscito a trovarlo. Quasi ogni altro file è lì. Ho anche provato ad avviare Windows 98 e montare NTFS e vedere il file, ma non era ancora lì. Ho eseguito una scansione completa con Microsoft Security Essentials ma non ho trovato nulla. Quando ho riavviato, ho visto invece questa riga:

Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
  1. Come posso rimuoverlo?
  2. Come posso scoprire cosa fa?
  3. Come posso sapere quando è stato inserito?
  4. Come posso scoprire chi l'ha scritto?

Ecco il mio registro di avvio completo:

    Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver 
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys

1
La risposta generale alla domanda nel tuo titolo sarebbe: superuser.com/questions/100360/…
Hennes

Nuke dall'orbita. È l'unico modo per esserne sicuri.
Zoredache,

@Hennes Non ha funzionato. Passaggio 1, Windows Defender, non verrà scaricato. Continuava a darmi un errore durante il passaggio di installazione del download 1. L'ho provato su due computer diversi.
Chloe,

Qual è il tuo obiettivo? Hai dichiarato 4 punti nella domanda. 1) La rimozione è semplice. 2) scoprire cosa fa è difficile 3) Quando è stato inserito potrebbe essere necessario un backup per il confronto. 4) Se si tratta di un virus: probabilmente mai. Se indichi qual è la tua risposta principale, potresti ottenere una risposta. Allo stato attuale la domanda è piuttosto ampia.
Hennes,

@Hennes Primo goal n. 1. Quindi possiamo discutere degli altri.
Chloe,

Risposte:


2

È un grave dolore nella parte posteriore da fare. Esistono strumenti appositamente progettati per rilevare i rootkit: gmer e il rivelatore di root kit vengono in mente. I file che stai vedendo non sono ovviamente rootkit stessi - potrebbero essere generati da un altro file effettivamente nascosto. Questi rileverebbero il rootkit, usato correttamente. La loro rimozione, tuttavia, è difficile e questi strumenti richiedono alcune competenze da utilizzare.

Prima di tutto, il tuo sistema è compromesso. Probabilmente non c'è alcun motivo reale per non nuke e pavimentarlo. Tuttavia, ipotizziamo che tu abbia voluto indagare di cosa si tratta. I rootkit si agganciano al sistema operativo stesso per nascondersi. Oltre agli strumenti menzionati in precedenza, è possibile utilizzare un livecd di salvataggio dei virus per scansionare il sistema: mi viene in mente microsoft system sweepe r, ma ce ne sono altri.

Suggerirei quindi di entrare con un livecd di Linux e di copiare tutti i file che ti dispiace perdere, quindi riavviare in Windows. Fai di nuovo una scansione AV solo per vedere cosa succede.

Quindi ovviamente la reinstallazione è la scelta intelligente qui.


Quel link non ha funzionato: connect.microsoft.com/systemsweeper "Pagina non trovata Impossibile trovare il contenuto richiesto o non si dispone dell'autorizzazione per visualizzarlo. Se si ritiene di aver raggiunto questa pagina per errore, fare clic sulla Guida link nella parte superiore della pagina per segnalare il problema e includere questo ID nella tua e-mail: d59c6166-c614-40ef-9a03-d9df1424b155 "
Chloe

Non considero il nuking una soluzione pratica. Come lo rimuovo manualmente? Dove Windows mantiene l'elenco dei driver da caricare?
Chloe,

Rootkit Revealer ha interrotto lo sviluppo nel 2006. Non è raccomandato. forum.sysinternals.com/…
Chloe

Ho eseguito Autorun in Safemode e disattivato qualcosa di strano. Il problema era sptd.sys che è firmato e viene fornito con Daemon Tools che genera un .sys casuale in seguito.
Chloe,

2

OK, obiettivo principale:

Come posso rimuoverlo?

L'unico modo garantito è Nuke dall'orbita . Riformattare e reinstallare.

Potrebbero esserci dei modi più sottili per rimuoverlo, ma se non sai esattamente con cosa hai a che fare non puoi esserne sicuro. Ciò significa che non dovresti mai usare quel PC per il settore bancario. Niente più acquisti online con numeri di carta di credito ecc.

A meno che tu non abbia un buon backup noto, è una cosa dannatamente fastidiosa. Ma è l'unico modo per essere al sicuro.

Suggerisco di fare prima una copia dell'HDD. Puoi farlo in molti modi. Ad esempio uno strumento di immagine come Acronis , Ghost , Clonezilla . Ciò ti consentirà di tornare allo stato in cui ti trovi ora. Una semplice copia su un'unità esterna è più semplice, ma non dare per scontato che la copia di tutto ripristinerà la vecchia installazione di Windows (specialmente se il disco esterno è formattato FAT32). Una bella terza opzione è quella di creare un VMDK (disco vmware) o un disco rigido virtuale dal disco (Strumenti per questo qui su technet e qui per Vmware ).

Quindi pulire completamente. Reinstalla da un'immagine pulita. Non tentare ancora di ripristinare alcun file . Installare i driver di rete, se necessario. Quindi aggiorna Windows completamente.

Ora sarebbe un buon momento per creare un'altra immagine di sistema. Spero che non dovrai mai più farlo, ma se lo fai ti farà risparmiare un sacco di tempo.

Installa i driver. Scaricali da una fonte sicura nota. Installa e aggiorna l'antivirus.

Ora abbiamo un sistema sicuro e puoi iniziare ad analizzare i backup che hai eseguito all'inizio. Esegui una scansione antivirus di essi. Se viene identificato, potrebbe darti la risposta che stai cercando.

In caso contrario, configurare una macchina virtuale (senza rete). Ripristina l'immagine di sistema su quella. Quindi installare strumenti di debug come Process Explorer , Rootkitrevealer e GMER .

Ora sei pronto a rispondere alla tua seconda domanda.

Come posso sapere quando è stato inserito?

Se si tratta di spyware, trojan, virus o altrimenti "malvagio": non puoi fare affidamento sul sistema infetto. Dovrai controllare il sistema infetto con un backup precedente. A meno che tu non abbia molti backup regolari, questo probabilmente non avrà successo.

Se è solo un software "normale", potrebbero esserci delle date nei file di registro e nei file stessi.

Come posso scoprire chi l'ha scritto?

Se è un virus o simile: non puoi. Se è un software scritto legalmente, appartiene a un programma o driver. Quelli dovrebbero venire con informazioni. Purtroppo spesso viene scritto un driver fill in your name here.


Come posso farlo nel modo più sottile? Dove Windows mantiene un elenco di driver che carica? Impossibile eseguire Windows Defender; Ha dato un errore # 0D durante il tentativo di avvio da CD e non si è avviato da USB. Ho eseguito Kaspersky 10 e ha trovato solo Trojan-Dropper.Win32.injector in un file in C: \ System Volume Information. Tuttavia, quando eseguo l'avvio normalmente, il file .sys casuale è ancora nel registro di avvio. Ho solo un backup di \ Documents and Settings.
Chloe,

Rileggi superuser.com/questions/100360/… Quindi, su un PC che non è infetto, crea un disco di avvio o collega l'unità infetta. Scansiona l'unità e rimuovi tutto il malware che trovi. Utilizzare diversi programmi da allora. Quindi avviare la modalità provvisoria (che causa il caricamento di driver minimi) e utilizzare msconfig per impostare 'bootlog' (seconda scheda da sinistra). Reboot. Esamina il log in c: /windows/nbtlog.txt. Questa è solo la prima parte, ma inizia con quella.
Hennes,

L'ho già letto. Ho creato il CD su un laptop e si avvia lì. Windows Defender fa schifo. Ho gestito RootkitRevealer e GMER, ma sono stati di scarso aiuto. Ho eseguito Autoruns in modalità provvisoria e attivato l'opzione Verificato e disattivato l'opzione Nascondi Windows e deselezionato tutto ciò che era strano. Il problema è stato causato dal dispositivo pass through SCSI sptd.sys con il quale viene fornito con Daemon Tools. Con esso spento, non crea un .sys casuale. Con abilitato, crea un .sys casuale. GMER ha classificato .sys come un dispositivo SCSI, in modo da dare un indizio. BTW RootkitRevealer è morto nel 2006.
Chloe il

FYI: La linea dopo Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sysè quella che mi ha preoccupato. Un nome nascosto? Non bene.
Hennes,

Le proprietà di quel driver sono: Windows NT SMB Minirdr, versione: 5.1.2600.6133 (xpsp_sp3_gdr.110715-1625).
Chloe,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.