[risolto] Rootkit o falso positivo?

simmetria · 02-10-2007, 01:29

Ho fatto una scansione con Avg Anti rootkit Free il quale ha trovato una voce in C:/Windows/system32/drivers/aurseewj.sys (un nome casuale)

Questa voce ho provato a cercarla ma non la trovavo (ovviamente) inoltre non la trovavo anche in modalità provvisoria.

Ho deciso di tentare l'eliminazione con AVG anti rootkit il quale ha riavviato il computer e mi ha confermato l'eliminazione.
Tuttavia rifacendo la scansione con lo stesso programma, mi ritrovava una voce nella stessa cartella eppure il file aveva un nome diverso (sempre casuale)

Ho provato ad effettuare una scansione con il programma da modalità provvisoria
ma non me lo consentiva diceva di riavviare..

Ora ho scaricato Sophos Anti Rootkit e Avira AntiRootkit
Il Sophos non trova nulla
Avira queste altre tre voci:

Codice:

Value data mismatch : HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon -> parseautoexec
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version -> version
Hidden value : HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version -> version

Le scansioni di questi ultimi due non le ho fatte da provvisoria...

Qualcuno mi dà una mano per favore?

NB. Ho disabilitato il ripristino di sistema prima di scansionare ed eliminare.
NB2 uso AVG free edition - Zone Alarm - Spybot - Avg Anti Spyware - WinXp PRO SP2

xcdegasp · 02-10-2007, 08:10

hai già provato Gmer e Panda anti rootkit?
prima esegui gmer e posta qui il log, prima di incollarlo controlla se ci sono righe rosse ed eventualmente segnalale a parte

simmetria · 02-10-2007, 11:57

http://paste-it.net/3768

gmer nn mi rileva nulla in rosso

Ho appena provato con Panda Antirootkit ma non trova nulla neanche lui

xcdegasp · 02-10-2007, 20:25

a questo punto potrebbe essere un falso positivo

simmetria · 02-10-2007, 20:52

solo Avg Anti rootkit mi segnala sto file...che cambia sempre nome...
è possibile fare qualcosa tramite una distro di linux? ho ubuntu 7.04 volendo...

wizard1993 · 03-10-2007, 10:51

Quote:

Originariamente inviato da xcdegasp

a questo punto potrebbe essere un falso positivo

il fatto che abbia un nome casuale non gioca a suo favore

simmetria · 04-10-2007, 02:25

Ho trovato la causa, o almeno così sembra..

Il file sys in questione sembrerebbe dipendere da daemon tools
Ho trovato con gmer il suo equivalente nel registro di sistema e da li ho trovato tramite una ricerca nel registro che faceva riferimento proprio a daemon tools

che dire...non so ancora se sia dannoso, però forse non devo preoccuparmi..

Nuz · 08-11-2007, 12:24

Ho anch'io un problema simile, cioè solo AVG Antirootkit mi segnala la presenza di due rootkit che cambiano nome ad ogni riavvio e sono nella cartella C:/Windows/system32/drivers/*.sys. Il nome in genere inizia con a ed è seguito da 7 caratteri e/o numeri casuali. Nè gmer e nè altri antirootkit (Avira., Panda, Sophos, ecc..) segnalano nulla.
Proprio mentre stavo per chiedere aiuto qui mi sono imbattuto in un articolo che conferma che si tratta di driver di Daemon Tools.
Questo è l'articolo: What is A#######.sys (A+7 random characters) driver? Rootkit or not?

xcdegasp · 13-11-2007, 14:04

efinalmente è stata fatta luce sul caso stranissimo

02-10-2007, 01:29	#1
simmetria Senior Member Iscritto dal: Nov 2004 Città: Bari Messaggi: 434	[risolto] Rootkit o falso positivo? Ho fatto una scansione con Avg Anti rootkit Free il quale ha trovato una voce in C:/Windows/system32/drivers/aurseewj.sys (un nome casuale) Questa voce ho provato a cercarla ma non la trovavo (ovviamente) inoltre non la trovavo anche in modalità provvisoria. Ho deciso di tentare l'eliminazione con AVG anti rootkit il quale ha riavviato il computer e mi ha confermato l'eliminazione. Tuttavia rifacendo la scansione con lo stesso programma, mi ritrovava una voce nella stessa cartella eppure il file aveva un nome diverso (sempre casuale) Ho provato ad effettuare una scansione con il programma da modalità provvisoria ma non me lo consentiva diceva di riavviare.. Ora ho scaricato Sophos Anti Rootkit e Avira AntiRootkit Il Sophos non trova nulla Avira queste altre tre voci: Codice: Value data mismatch : HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon -> parseautoexec Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version -> version Hidden value : HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version -> version Le scansioni di questi ultimi due non le ho fatte da provvisoria... Qualcuno mi dà una mano per favore? NB. Ho disabilitato il ripristino di sistema prima di scansionare ed eliminare. NB2 uso AVG free edition - Zone Alarm - Spybot - Avg Anti Spyware - WinXp PRO SP2 __________________ [Desktop]: ( P5QL-E [0905] - Intel E5200 - 4x1gb Corsair XMS2 CL4 - Sapphir HD4670 Ultimate - Corsair 620W - Western Digital WD5000AADS - LG H55N - Samsung 701N - Coolermaster Stacker - Wacom Bamboo Fun A6 - ICY BOX External Raid USB 2.0 IB-RD4320StUS2 ) [Trattative]: xketto85x

02-10-2007, 08:10	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	hai già provato Gmer e Panda anti rootkit? prima esegui gmer e posta qui il log, prima di incollarlo controlla se ci sono righe rosse ed eventualmente segnalale a parte __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

02-10-2007, 11:57	#3
simmetria Senior Member Iscritto dal: Nov 2004 Città: Bari Messaggi: 434	gmer http://paste-it.net/3768 gmer nn mi rileva nulla in rosso Ho appena provato con Panda Antirootkit ma non trova nulla neanche lui __________________ [Desktop]: ( P5QL-E [0905] - Intel E5200 - 4x1gb Corsair XMS2 CL4 - Sapphir HD4670 Ultimate - Corsair 620W - Western Digital WD5000AADS - LG H55N - Samsung 701N - Coolermaster Stacker - Wacom Bamboo Fun A6 - ICY BOX External Raid USB 2.0 IB-RD4320StUS2 ) [Trattative]: xketto85x Ultima modifica di simmetria : 02-10-2007 alle 12:15.

02-10-2007, 20:25	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	a questo punto potrebbe essere un falso positivo __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

02-10-2007, 20:52	#5
simmetria Senior Member Iscritto dal: Nov 2004 Città: Bari Messaggi: 434	solo Avg Anti rootkit mi segnala sto file...che cambia sempre nome... è possibile fare qualcosa tramite una distro di linux? ho ubuntu 7.04 volendo... __________________ [Desktop]: ( P5QL-E [0905] - Intel E5200 - 4x1gb Corsair XMS2 CL4 - Sapphir HD4670 Ultimate - Corsair 620W - Western Digital WD5000AADS - LG H55N - Samsung 701N - Coolermaster Stacker - Wacom Bamboo Fun A6 - ICY BOX External Raid USB 2.0 IB-RD4320StUS2 ) [Trattative]: xketto85x

04-10-2007, 02:25	#7
simmetria Senior Member Iscritto dal: Nov 2004 Città: Bari Messaggi: 434	Ho trovato la causa, o almeno così sembra.. Il file sys in questione sembrerebbe dipendere da daemon tools Ho trovato con gmer il suo equivalente nel registro di sistema e da li ho trovato tramite una ricerca nel registro che faceva riferimento proprio a daemon tools che dire...non so ancora se sia dannoso, però forse non devo preoccuparmi.. __________________ [Desktop]: ( P5QL-E [0905] - Intel E5200 - 4x1gb Corsair XMS2 CL4 - Sapphir HD4670 Ultimate - Corsair 620W - Western Digital WD5000AADS - LG H55N - Samsung 701N - Coolermaster Stacker - Wacom Bamboo Fun A6 - ICY BOX External Raid USB 2.0 IB-RD4320StUS2 ) [Trattative]: xketto85x

08-11-2007, 12:24	#8
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Ho anch'io un problema simile, cioè solo AVG Antirootkit mi segnala la presenza di due rootkit che cambiano nome ad ogni riavvio e sono nella cartella C:/Windows/system32/drivers/.sys. Il nome in genere inizia con a ed è seguito da 7 caratteri e/o numeri casuali. Nè gmer e nè altri antirootkit (Avira., Panda, Sophos, ecc..) segnalano nulla. Proprio mentre stavo per chiedere aiuto qui mi sono imbattuto in un articolo che conferma che si tratta di driver di Daemon Tools. Questo è l'articolo: What is A#######.sys (A+7 random characters) driver? Rootkit or not? __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.*

13-11-2007, 14:04	#9
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	efinalmente è stata fatta luce sul caso stranissimo __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

Strumenti
Mostra una versione stampabile Invia questa pagina per email