Infezione da Hacktool.Rootkit
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 28/Aprile/2024 alle 22:07
Topic: Infezione da Hacktool.Rootkit Postato da: lumi
Soggetto: Infezione da Hacktool.Rootkit
Postato in data: 16/Agosto/2005 alle 22:21
Ragazzi ciao a tutti
è un po che non mi faccio vivo ma ne ero contento 
perchè voleva dire che tutto mi stava funzionando bene.
Ma ahime! due giorni fa accendo il pc e Norton Antivirus mi dice che ho un rischio alto.
Nome del virus: Hacktool. Rootkit
Nome oggetto: C:\ Documents and Settings \ ms.directx.sys
Azioni intraprese: Impossibile riparare il file
Allora vado su C poi in documents and settings, trovo il file msdirectx.sys clicco con il destro del mouse e gli dico elimina.
Ma mi compare un messagio con scritto:
Impossibile eliminare msdirectx: accesso negato
Controllare che il disco non sia pieno o protretto da scrittura e che il file non sia attualmente in uso.
E mo che faccio? Lo so che voi avrete sicuramente la soluzione
.
Aspetto con ansia. Adesso che tutto funzionava alla grande
.
Aiutatemiiiiii!
Luciano
Risposte:
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 22:31
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 22:32
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 22:34
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 22:36
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 22:42
Postato da: lucas
Postato in data: 16/Agosto/2005 alle 22:43
scaricati KillBox
http://www.bleepingcomputer.com/files/spyware/KillBox.zip - http://www.bleepingcomputer.com/files/spyware/KillBox.zip
estrai l'eseguibile sul desktop
Apri KillBox
inserisci all'interno della riga bianca questo percorso
C:\Documents and Settings\ms.directx.sys
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso e vedi se è scomparso(riavvia il pc)ciao ciao
PS:Il file molto probabilmente è questo msdirectx.sys e non questo ms.directx.sys un puntino cambia molto in un file
-------------
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 22:50
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:00
lucas scusa io ho scaricato kill box hofatto come hai detto ma non si elimina. Mi dice sempre che è un file di sistema .... accesso negato etc etc.
Tra l'altro adesso non so neppure dove si è messo il programma che ho scaricato cliccando sul tuo link. Uff!!!
Facciamo le cose con calma e piano piano ok? Sono un neofita lo sai.
Dunque per prima cosa mi puoi dire dove si è messo sto benedetto kill box ...almeno ci riprovo! Grazie
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:13
Allora ho trovato dove si era messo. L'ho eliminato e l'ho scaricato di nuovo. Questa volta l'ho salvato e me lo sono messo nella cartella documenti
L'ho riaperto ho fatto esattamente come mi hai detto ma dopo che clicco sulla croce bianca su sfondo rosso mi si apre questa finestra con questo messaggio.
Pending file rename operations
Pending file rename operations registry date has been removed by external process!
Ho cliccato su Ok. Ho riavviato il pc , ma quel benedetto file è sempre lì.
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:16
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 23:18
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:22
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 23:24
http://securityresponse.symantec.com/avcenter/fxmytbar.exe - tool di rimozione, comunque io aspetterei lucas. Lui è un grande
-------------
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:26
Postato da: pensieroblu72
Postato in data: 16/Agosto/2005 alle 23:27
Postato da: lucas
Postato in data: 16/Agosto/2005 alle 23:34
la scritta dice che il file è stato già rimosso da un processo esterno
oppure rinominato e poi eliminato!!provalo a cercare con la funzione
cerca(ricorda di visualizzare i file e le cartelle nascoste)ciao
ciao PS:A me il link di pensieroblu funziona
-------------
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:42
Scusa lucas, ma nel frattempo che ti aspettavo ho fatto una scansione con Norton Internet security della cartella Documents and Setting.
Dop la scansione Norton mi dice:
il file C:\ Documents and setting\Amministratore\msdirectx.sys è infettato dal virus Hacktool Rootkit
Riparazione non possibile
L'ho comunque messo in quarantena
Ma mi viene spontaneo chiedere una cosa: la cartella msdirectx dove c' il virus non è che eliminandola faccio danno?
Cioè mi spiego meglio
. Questa mi pare di capire che sia una cartella di sistema con delle cose dentro che servono al pc (azzardo!!) e che dentro ci si sia infilato il virus. Ma se io elimino tutto la cartella, semmai ci riuscissi, non rischio di eliminare altre cose?
Però vedo anche che andando sulle proprietà di questa cartella vedo data della creazione 14 Agosto
A parte che io la vedo sempre al suo posto. Non ho ancora provato comunque ad andare su "cerca" ...adesso ci vado, ma il dubbio di cui sopra mi rimane sempre!
Postato da: lumi
Postato in data: 16/Agosto/2005 alle 23:47
Ho fatto anche cerca. (ho messo la spunta su file e cartelle nascoste)
Non ha trovato ne msdirectx nè msdirectx.sys
Ma la cartella però è sempre lì io la vedo e se clicco con il destro e dico elimina non si elimina
Postato da: lucas
Postato in data: 16/Agosto/2005 alle 23:52
Click on Start, (clicca su start)
Click on Search, (clicca su cerca)
Click on 'All files and folders', (clicca su file e cartelle)
In the 'All or part of the file name:' textbox, enter the following files separately and click on Search:(metti i file che ti metto sotto separatamente nel box di ricerca e clicca su cerca )
mouse.exe
msdirectx.sys
Right click on any entries that are found and from the menu that appears, click on Delete. (fate click con il tasto destro sulla voce che trovate e seleziona elimina)
-------------
Postato da: lumi
Postato in data: 17/Agosto/2005 alle 00:01
Ricerca completata. non è stata individuata alcuna voce. Per ambedue i file.
E' veroooo non c'è più
E allora adesso approfitto
Sempre in documents and settings- Amministratore c'è una cartella che si chiama :ntuser . E' un file dat di 2,90 Mb
Che può essere?
Dio come sono ignorante!!
Grazie lucas
Postato da: lucas
Postato in data: 17/Agosto/2005 alle 00:15
vai su questi 2 siti
http://www.virustotal.com/flash/index_en.html - Virus Total
e
http://virusscan.jotti.org/ - Jotti Malware scan
lo fai analizzare e vedi cosa ti da!! ciao ciao
PS:Secondo me non è infetto e solo la cartella user provalo ad aprire
vedi che ti dice che è usato da un altro processo ciao ciao-------------
Postato da: lumi
Postato in data: 17/Agosto/2005 alle 00:16
Non posso approfittarne eh?
Vabbè comunque ti ringrazio di avermi risolto il problema del virus.
Postato da: dinop
Postato in data: 17/Agosto/2005 alle 00:24
-------------
dinop - old softman - http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe - HiJackThis
Postato da: lumi
Postato in data: 17/Agosto/2005 alle 00:27
Dunque con virus total mi dice che il file non deve superare i 2Mbyte. Il mio è 2,90.
E con Jotti mi dice:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.
Se poi cerco di aprirlo mi dice che sto tentando di aprire un file di tipo dat etc etc....che è utilizzato dal sistema operativo e che potrei creare danni etc. etc. Uffa, eppure sarei curioso di sapere che diavolo è.
Postato da: lumi
Postato in data: 17/Agosto/2005 alle 00:30
Grazie dinop
Allora lo lascio lì. Ma c'è una domanda che però mi sorge spontanea.
Perchè se vado in proprietà mi dice che la data di creazione è il 5 agosto?
Grazie
Postato da: pensieroblu72
Postato in data: 17/Agosto/2005 alle 00:44
Postato da: lucas
Postato in data: 17/Agosto/2005 alle 00:54
ho solo modificato il link comunque non penso dato che il norton lo
riconosce ed è vecchio come worm se aspetto vedo!!ciao ciao
-------------
Postato da: pensieroblu72
Postato in data: 17/Agosto/2005 alle 00:58
Postato da: dinop
Postato in data: 17/Agosto/2005 alle 00:59
Grazie dinop
Allora lo lascio lì. Ma c'è una domanda che però mi sorge spontanea.
Perchè se vado in proprietà mi dice che la data di creazione è il 5 agosto?
Grazie
il file viene aggiornato ogni volta che cambi qualcosa negli elementi che si possono personalizzare a livello di utente...
-------------
dinop - old softman - http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe - HiJackThis
Postato da: lucas
Postato in data: 17/Agosto/2005 alle 01:05
Penso che non centri quasi niente ma non vuol dire niente quello che dicono loro(aziende antivirus)tutti i file possono venire infetti!!!!
ciao ciao -------------
Postato da: pensieroblu72
Postato in data: 17/Agosto/2005 alle 01:07
Postato da: lumi
Postato in data: 18/Agosto/2005 alle 21:39
Mi dispiace ma non ha funzionato
Task manager non si riabilita
Si apre per un attimo appena clicco ctrl alt canc
Ma solo per un attimo, anche dopo aver aperto il tuo programma!
Dai lo so che se ci pensate un attimo alla fine mi dite come fare
Postato da: Yusuke
Postato in data: 18/Agosto/2005 alle 21:44
-------------
La notte è più bello, si vive meglio, per chi fino alle cinque non conosce sbadiglio e la città riprende fiato, sembra che dorma e il buio la trasforma e le cambia forma...
Postato da: lumi
Postato in data: 18/Agosto/2005 alle 22:02
Postato da: Cyobin
Postato in data: 01/Ottobre/2006 alle 11:45
Ciao ciao
-------------
Le piccole cose, le piccole attenzioni, sono come fiori che germogliano nell'ombra. (E.E.Dickinson)