Trovato Rootkit in C:\windows\system32\drivers\sptd.sys

[Lavi90]

Salve a tutti!!!
è la prima volta che scrivo e mi servirebbe veramente l'aiuto di persone più esperte di me.
Inizio col dire che ho Avast come antivirus, il quale ieri mi ha trovato un Rootkit (minaccia rootkit system modification) sul pc in C:\windows\system32\drivers\sptd.sys
Sono andata a informarmi su cosa fosse ( prima non l'avevo mai sentito nominare) e come eliminarlo visto che avast non lo fa
Qualcosina ho capito ma per non fare danni ed essere sicura avrei bisogno del vostro aiuto. Ho tentato di scaricare diversi programmi per eliminare i rootkit ma quano li avvio mi da errore e non me li fa partire. L'unico che parte e che mi fa la scansione trovandomi i rootkit è Sophos anti-rootkit.

Ecco quello che mi trova: adesso me ne trova 3 mentre ieri me ne ha trovati 9! Boh!!
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\System32\drivers\sptd.sys
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Lavi\AppData\Local\Microsoft\Windows\Temp orary Internet Files\Low....gif
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\Lavi\AppData\Local\Microsoft\Windows\Temp orary Internet Files\Low\....js
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)


Vorrei sapere se posso tranquillamente cancellare quello che mi ha trovato o trovandosi il rootkit in C:\windows\system32\drivers\sptd.sys causo qualche danno a windows cancelladolo?
Volevo anche chiedervi un'altra cosa, magari è una domanda stupida ma non sono tanto esperta in queste cose... Se faccio il ripristino di sistema ad un punto antecedente può cambiare qualcosa? Posso non avere più il rootkit o no? Ripeto..magaroi è banale come domanda ma sono veramente inesperta in queste cose.

Poi, sempre avast mi ha fatto venire fuori anche questo messaggio: "sono stati rilevati dei file sospetti usando il metodo euristico potrebbe essere un segnale d'infezione virus..."
e sotto viene sempre riportato C:\windows\system32\drivers\sptd.sys ripetuto per 4 volte.

Il messaggio sul rootkit diceva la stessa cosa, solo che al posto di "usando il metodo euristico" vi era semplicemente scritto "rootkit"

Ringrazio di cuore tutti quelli che mi potranno aiutare sperando in bene

[Gas75]

Ciao, per prima cosa ti suggerisco di sbarazzarti di Avast, sostituendolo, se vuoi restare nel campo degli antivirus gratuiti, con l'accoppiata Avira Antivir + Malwarebytes.

Visto che intanto il problema c'è, potrebbe tornarti utile leggere qualche articolo in merito al file sptd.sys, a cominciare da questo.

Dovrebbe essere un file di Daemon Tools, anche se sul pc che sto usando, sebbene sia installato Daemon Tools, quel file non c'è!

La procedura da seguire se vuoi liberarti di quel file in maniera sicura e reversibile è la seguente:
- crei un punto di ripristino del sistema (per sicurezza)
- Da start, esegui, digita cmd, quindi raggiungi la cartella dov'è presente il file sptd (procedendo cartella per cartella con il comando

codice:

cd windows

e invii... e ripeti con la sottocartella successiva.
Giunto in drivers, digita

codice:

ren sptd.sys sptd.bak

e invia.
Se non ti consente la rinomina, chiudi Daemon Tools, o meglio disinstallalo con Revo Uninstaller in modalità moderata dopo averlo chiuso.
Fatta questa appendice, riavvia il sistema, e verifica se si presentano problemi.
Se va tutto ok, elimina tranquillamente il file sptd.bak, viceversa torna al punto di ripristino che avevi salvato.

[Lavi90]

Innanzitutto grazie per il tuo aiuto; appena ho risolto il problema cambierò antivirus!!!
Premetto che mi intendo poco di "queste cose", e alcune cose che mi hai detto non le ho capite tanto bene.
Allora vado su start, poi esegui, poi su esegui digito cmd e schiaccio invio? o schiaccio su sfoglia? e dove scrivo cd windows?
Scusa ma non avendolo mai fatto non riesco a capire bene. Potresti spiegarmi proprio passo per passo? ogni singola cosa che devo fare?
Scusa veramente ancora ma vorrei capire bene come farlo per imparare.
Grazie ancora!

[Gas75]

Allora, Start, Esegui, digita cmd e invia (io ora sto su Windows 7 e non so se è proprio uguale l'operazione su altri sistemi... Per esempio su Windows XP si può andare sfogliando da Start, in Accessori, ecc...).
Cmq ti si deve aprire una finestra nera, tipo DOS, con delle scritte che ti dicono il sistema operativo che usi, e poi una riga con il cursore "_" lampeggiante. E' lì che devi muoverti con le scritte da inserire!
In pratica, siccome non so da dove partirai (non sapendo che sistema operativo hai), fai una sequenza di

codice:

cd..

e invia, in modo da risalire fino a che non rimane

codice:

C:\>_

con il _ lampeggiante.
A quel punto inizia a scrivere e inviare, uno per volta...

codice:

cd Windows
cd System32
cd drivers

Ora sei nella cartella contenente il file incriminato! Il sospetto rootkit!
Non ti rimane che effettuare la rinomina come ti ho scritto prima, e procedere con i passi successivi.

[Lavi90]

Per favore, non c'è nessuno che può aiutarmi? o spiegarmi passo per passo quello che Gas75 ha già scritto?
é molto importante perchè ho veramente bisogno del computer in questo periodo e devo assolutamente risolvere il problema.
Volevo sapere una cosa... Se cancello il rootkit che si trova in C:\windows\system32\drivers\sptd.sys si cancella anche il file stesso? se si, causa danni a windows la sua eliminazione?
Grazie ancora a chiunque cercherà di aiutarmi


Ops... ho visto solo adesso che mi hai risposto. Adesso vado a leggere... grazie ancora

Si, si ho windows 7 anch'io

[Lavi90]

Allora finalmente ho capito, grazie!!!
Ho fatto come mi hai detto solo che non mi lascia rinominarlo. Mi dice accesso negato.
Adesso allora disinstallo Daemon Tools con il programma che mi hai detto. Una cosa... che vuol dire modalità moderata? e dopo averlo disinstallato devo ripetere ancora tutto questo che ho appena fatto?

Ok ho appena capito cosa vuol dire moderata

Ho disinstallato Daemon Tools e ho provato ancora a rifare tutto il procedimento su esegui, ma niente. Sempre accesso negato.
Sono andata direttamente a vedere il file in questione "sptd.sys" e sotto a quello si è creato un altro file che si chiama SPTD.SYS.TMP
cos'è?