Con la storia di sony e del suo rootkit ho cominciato ad interessarmi a questi ultimi, che, da quel che ho letto in giro, sembrano essere quasi del tutto invisibile ad antivirus e altro...
Ho provato a scaricare ed usare rootkit releaver e mi ha trovato questo:

http://img35.imageshack.us/img35/1577/rootkitreleaver3yc.jpg (http://imageshack.us)

In allegato ho inserito il log di HijackThis v1.99.1

Devo preoccuparmi?

Grazie e ciauz!!

Cosa sono i rootkit? :stordita: :fagiano:

Cosa sono i rootkit? :stordita: :fagiano:
Si tratta, in pratica, di tool utilizzati dagli hackers ideati per lavorare in background e comunicare con l'esterno senza però arrecare disturbo né interrompere l'attività del PC. I Rootkit sono praticamente invisibili ma consentono la comunicazione con l'esterno e la lettura delle attività del sistema.

Nessun aiuto/suggerimento?

Nessun aiuto/suggerimento?
Fixa queste voci:
C:\TEMP\ZOTIYBI.exe
O23 - Service: ZOTIYBI - Sysinternals - www.sysinternals.com - C:\TEMP\ZOTIYBI.exe

Quella l'ho messa a posto ieri sera dopo il primo scan in effetti!!
E' riguardo alla scansione di rootkit releaver che non so come comportarmi: cancello quelle voci di registro????

Grazie e ciauz!!

Quella l'ho messa a posto ieri sera dopo il primo scan in effetti!!
E' riguardo alla scansione di rootkit releaver che non so come comportarmi: cancello quelle voci di registro????

Grazie e ciauz!!
Se vuoi rimuovere quelle voci di registro fallo pure ma ti consiglio di fare prima un backup delle voci che devi rimuovere in modo da ripristinarle facilmente in caso di problemi.

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!
Non so se sono rootkit, potrebbero anche essere falsi positivi. Hai provato a fare un paio di scansioni antivirus?

Sì, ho provato un paio di scansioni con avast ma non trova nulla, una programmata all'avvio (ma si blocca, è un problema che ho da un po' che su win a random il mio pc si freeza).
Con spybot ed ewido niente da segnalare.

Grazie e ciauz!

EDIT: ora che ricordo, una settimana fa ewido mi aveva trovato qualcosa sul file di installazione di xp-antispy3.9 ita, ma al successivo aggiornamento delle firme non ha trovato più nulla (e non avevo cancellato naturalmente il file, quindi ho pensato ad un falso positivo, visto che xp-antispy ce l'ho da mesi lì).

Fai una scansione con bitdefender free:
http://www.bitdefender.com/site/Download/downloadFile/340/EN/
e una scansione con l'anti-rootkit della F-secure:
http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

Ok, grazie!

Stasera proverò a verificare anche con quelli online!!

Ciauz!!

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!

Ciao,

l'espressione "Data mismatch between Windows API and raw hive data" si riferisce semplicemente a incoerenze tra qualche programma e la relativa chiave di registro. In pratica l'anti rootkit di Sysinternals si comporta come un programma "di controllo registro" e rileva queste incoerenze. Spesso si tratta di vecchie chiavi obsolete riferite a programmi rimossi ma non sempre è così :cry:

Personalmente eviterei di manomettere il registro oppure, come ti ha spiegato Andorra, se proprio le vuoi rimuovere, prima fai un bel back-up.

Capita spesso infatti, che dopo una vigorosa ripulita al registro qualcosa non funzioni più a dovere :muro:
Giusto Domenica scorsa un mio pazzoide amico, seguendo le indicazioni, non ricordo se di JV16 oppure di Regseeker, ha rimosso 800 chiavi ritenute inutili.

Risultato: non gli funzionavano più molti programmi e non riusciva più ad aprire le cartelle di windows. Ha dovuto formattare :cry:

ok, grazie mille per le spiegazioni. L'importante è che non siano rootkit.
Allora più do tanto non mi preoccupo al momento!!

Grazie e ciauz!!

Ciao,

ho fatto un esperimento, chi ha installato il KAV Antivirus (gioia e dannazione di wgator, curioso antivirus! :p ) si troverà probabilmente centinaia, se non migliaia di voci che riportano la dicitura "KAVICHS" simili a queste:

C:\boot.ini:KAVICHS 04/11/2005 21.10 132 bytes Hidden from Windows API.
C:\Documents and Settings\All Users\Dati applicazioni\desktop.ini:KAVICHS 05/11/2005 12.18 132 bytes Hidden from Windows API.

Niente paura, si tratta del nostro amato KAV che usa una sua tecnica basata su un controllo "crc" e memorizza le "firme" di molti file per velocizzare le successive scansioni. Maggiori info (in inglese):

http://www.kaspersky.com/faq?qid=156636746
http://www.kaspersky.com/faq?qid=156666512

Ciao,

ho fatto un esperimento, chi ha installato il KAV Antivirus (gioia e dannazione di wgator, curioso antivirus! :p ) si troverà probabilmente centinaia, se non migliaia di voci che riportano la dicitura "KAVICHS" simili a queste:

C:\boot.ini:KAVICHS 04/11/2005 21.10 132 bytes Hidden from Windows API.
C:\Documents and Settings\All Users\Dati applicazioni\desktop.ini:KAVICHS 05/11/2005 12.18 132 bytes Hidden from Windows API.

Niente paura, si tratta del nostro amato KAV che usa una sua tecnica basata su un controllo "crc" e memorizza le "firme" di molti file per velocizzare le successive scansioni. Maggiori info (in inglese):

http://www.kaspersky.com/faq?qid=156636746
http://www.kaspersky.com/faq?qid=156666512


Chi vuole evitare gli ADS del kaspersky puo' farlo con facilita' durante il setup dell'antivirus. Basta togliere la spunta da ''Use iStreams'' e il computer non avra' nessuna voce KAVICHS. Anche in fase di disinstallazione c'e' un opzione che permette la rimozione degli ADS per coloro che invece hanno utilizzato la tecnologia iStreams. :)

ps: il nuovo KAV2006 e KIS2006 non usano piu' iStreams

Si tratta, in pratica, di tool utilizzati dagli hackers ideati per lavorare in background e comunicare con l'esterno senza però arrecare disturbo né interrompere l'attività del PC. I Rootkit sono praticamente invisibili ma consentono la comunicazione con l'esterno e la lettura delle attività del sistema.
Grazie, non lo sapevo!

Ciao, vorrei sapere se la presenza di eventuali rootkit "maligni" possono essere evidenziati con una scansione di Hijackthis. Grazie.