Come sbarazzarsi di rootkit?
Cosa sono i rootkit?
Un rootkit è un programma dannoso che può nascondere la presenza di altri programmi dannosi da parte dell'utente e dei software di sicurezza (antivirus, firewall). Alcuni rootkit installano backdoor. A differenza dei virus o dei worm, i rootkit non sono in grado di duplicarsi.
- Per installare un rootkit, è necessario disporre dei diritti di amministratore sulla macchina.
- Il rilevamento di rootkit è più complicato rispetto ad altri malware.
Le principali azioni dei rootkit:
- Possono influenzare il modo in cui funziona il sistema operativo (e possibilmente il kernel).
- Sono "invisibili" (processo nascosto) che li rende difficili da disinfettare.
I rootkit più comuni sono:
- ZeroAccess / Sirefef
- Alueron / TDSS TDL 4 (bootkits)
Nota che:
La maggior parte degli utenti di Internet usa i propri account amministratore invece di un account limitato per navigare in Internet e questo facilita enormemente l'installazione dei rootkit sulla macchina!
Ulteriori informazioni sui rootkit.
Metodi di disinfezione
Iniziare
I rootkit possono rendere instabile il sistema.
- Prima della loro rimozione, si consiglia vivamente di eseguire il backup di documenti importanti.
- D'altra parte, durante la procedura di disinfezione, chiudere tutti i programmi in esecuzione e disabilitare la protezione da virus.
- Salvare i rapporti di scansione e pubblicarli sui forum appropriati, se necessario.
Primo metodo: Anti-Rootkit di Malwarebyte
- Lo scanner Malwarebyte Antirootkit fornisce una soluzione molto efficace.
- Scarica e avvia il programma: //www.malwarebytes.org/products/mbar/
- Esegui una scansione.
- Rimuovere gli elementi dannosi rilevati.
- Salva il rapporto di scansione.
Secondo metodo: RogueKiller
RogueKiller è un programma in grado di rilevare i rootkit (è in grado di rilevare e rimuovere ZeroAccess / Sirefef).
- Scarica RogueKiller.
- Chiudi tutti i programmi
- Avvia RogueKiller.exe.
- Aspetta che il prescan sia finito ...
- Esegui una scansione per sbloccare il pulsante Elimina.
- Clicca su Elimina.
- Salva il contenuto del rapporto.
Terzo metodo: utilizzo della Console di ripristino di emergenza
Grazie alla Console di ripristino di emergenza è possibile riparare Windows (i file vitali sono danneggiati o persi), ma può anche aiutare a neutralizzare i rootkit.
Quarto metodo: Gmer
Gmer è un potente rilevatore di rootkit:
Visita questa pagina e scarica Gmer con un nome casuale (per ingannare il Rootkit).
Esegui Gmer
Il programma si avvia ed esegue una scansione automatica.
- Le linee rosse dovrebbero apparire in caso di infezione.
- Servizi: fare clic con il pulsante destro del mouse ed eliminare il servizio
- Processo: fare clic con il tasto destro del mouse e quindi terminare il processo
- Adl, file: fare clic con il tasto destro e cancellare i file
Identifica facilmente i roootkits:
Quando Gmer rileva un rootkit o un file nascosto, la linea corrispondente diventa rossa.
Alla fine della linea dovresti vedere (per le infezioni) le seguenti estensioni:
- .dat
- .EXE
- _nav.dat
- _navps.dat
- sys
Esempio di infezione:
- C: Users \ crilaud \ AppData \ Local \ igeysiy.dat
- C: Users \ crilaud \ AppData \ Local \ igeysiy.exe
- C: Users \ crilaud \ AppData \ Local \ igeysiy_nav.dat
- C: Users \ crilaud \ AppData \ Local \ igeysiy_navps.dat
Quinto metodo: Combofix
- Si consiglia di chiedere consigli sul forum prima di usare Combofix (è uno strumento molto potente).
- Scarica //download.bleepingcomputer.com/sUBs/ComboFix.exe ComboFix (di sUBs) sul desktop.
- Disattiva temporaneamente qualsiasi protezione residente Antivirus, Antispyware ..)
- Fare doppio clic su ComboFix.exe (in Vista, è necessario fare clic con il pulsante destro del mouse su ComboFix.exe e selezionare Esegui come amministratore).
- Accetta il contratto di licenza.
- Il programma chiederà se si desidera installare la Console di ripristino di emergenza, fare clic su Sì.
- Una volta completata l'operazione, verrà creato un report in:% ystemDrive% ComboFix.txt (% systemdrive% è la partizione in cui è installato Windows)
Scansioni online
È consigliabile eseguire una scansione online per verificare la presenza di applicazioni infette: scansioni online!
Disattivazione / riattivazione del Ripristino configurazione di sistema
È necessario disabilitare e abilitare Ripristino configurazione di sistema per eliminare i punti di ripristino infetti:
- Ripristino configurazione di sistema su Windows 7 e Vista
Link per il download
- Trend-Micro Rootkit Buster
- Rimuovi Mcafee
- AVG Anti-Rootkit
- Sophos Anti-Rootkit
- G Data Remover
- Panda Anti-Rootkit
- //www.free-av.com/fr/outils/4/avira_antirootkit_tool.html
//www.commentcamarche.net/forum/virus-securite-7