Come sbarazzarsi di rootkit?

Cosa sono i rootkit?

Un rootkit è un programma dannoso che può nascondere la presenza di altri programmi dannosi da parte dell'utente e dei software di sicurezza (antivirus, firewall). Alcuni rootkit installano backdoor. A differenza dei virus o dei worm, i rootkit non sono in grado di duplicarsi.

Per installare un rootkit, è necessario disporre dei diritti di amministratore sulla macchina.
Il rilevamento di rootkit è più complicato rispetto ad altri malware.

Le principali azioni dei rootkit:

Possono influenzare il modo in cui funziona il sistema operativo (e possibilmente il kernel).
Sono "invisibili" (processo nascosto) che li rende difficili da disinfettare.

I rootkit più comuni sono:

ZeroAccess / Sirefef
Alueron / TDSS TDL 4 (bootkits)

Nota che:

La maggior parte degli utenti di Internet usa i propri account amministratore invece di un account limitato per navigare in Internet e questo facilita enormemente l'installazione dei rootkit sulla macchina!

Ulteriori informazioni sui rootkit.

Metodi di disinfezione

Iniziare

I rootkit possono rendere instabile il sistema.

Prima della loro rimozione, si consiglia vivamente di eseguire il backup di documenti importanti.
D'altra parte, durante la procedura di disinfezione, chiudere tutti i programmi in esecuzione e disabilitare la protezione da virus.
Salvare i rapporti di scansione e pubblicarli sui forum appropriati, se necessario.

Primo metodo: Anti-Rootkit di Malwarebyte

Lo scanner Malwarebyte Antirootkit fornisce una soluzione molto efficace.
Scarica e avvia il programma: //www.malwarebytes.org/products/mbar/
Esegui una scansione.
Rimuovere gli elementi dannosi rilevati.
Salva il rapporto di scansione.

Secondo metodo: RogueKiller

RogueKiller è un programma in grado di rilevare i rootkit (è in grado di rilevare e rimuovere ZeroAccess / Sirefef).

Scarica RogueKiller.
Chiudi tutti i programmi
Avvia RogueKiller.exe.
Aspetta che il prescan sia finito ...
Esegui una scansione per sbloccare il pulsante Elimina.
Clicca su Elimina.
Salva il contenuto del rapporto.

Terzo metodo: utilizzo della Console di ripristino di emergenza

Grazie alla Console di ripristino di emergenza è possibile riparare Windows (i file vitali sono danneggiati o persi), ma può anche aiutare a neutralizzare i rootkit.

Quarto metodo: Gmer

Gmer è un potente rilevatore di rootkit:

Visita questa pagina e scarica Gmer con un nome casuale (per ingannare il Rootkit).

Esegui Gmer

Il programma si avvia ed esegue una scansione automatica.

Le linee rosse dovrebbero apparire in caso di infezione.
Servizi: fare clic con il pulsante destro del mouse ed eliminare il servizio
Processo: fare clic con il tasto destro del mouse e quindi terminare il processo
Adl, file: fare clic con il tasto destro e cancellare i file

Identifica facilmente i roootkits:

Quando Gmer rileva un rootkit o un file nascosto, la linea corrispondente diventa rossa.

Alla fine della linea dovresti vedere (per le infezioni) le seguenti estensioni:

.dat
.EXE
_nav.dat
_navps.dat
sys

Esempio di infezione:

C: Users \ crilaud \ AppData \ Local \ igeysiy.dat
C: Users \ crilaud \ AppData \ Local \ igeysiy.exe
C: Users \ crilaud \ AppData \ Local \ igeysiy_nav.dat
C: Users \ crilaud \ AppData \ Local \ igeysiy_navps.dat

Quinto metodo: Combofix

Si consiglia di chiedere consigli sul forum prima di usare Combofix (è uno strumento molto potente).
Scarica //download.bleepingcomputer.com/sUBs/ComboFix.exe ComboFix (di sUBs) sul desktop.
Disattiva temporaneamente qualsiasi protezione residente Antivirus, Antispyware ..)
Fare doppio clic su ComboFix.exe (in Vista, è necessario fare clic con il pulsante destro del mouse su ComboFix.exe e selezionare Esegui come amministratore).
Accetta il contratto di licenza.
Il programma chiederà se si desidera installare la Console di ripristino di emergenza, fare clic su Sì.
Una volta completata l'operazione, verrà creato un report in:% ystemDrive% ComboFix.txt (% systemdrive% è la partizione in cui è installato Windows)