PDA

View Full Version : [Official thread]Rootkit Revealer


giannola
30-01-2007, 17:28
Questo 3d nasce dalla consapevolezza che il problema rootkit sta diventando sempre più complesso e articolato.
Quindi spero che questo 3d possa avere la funzione di quello che è il 3d ufficiale di hijack this, ovvero il passo successivo nella ricerca e individuazione dei rootkit attraverso il log postati dagli utenti.

questo è il link da cui scaricare rootkit revealer:

http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

Nella speranza di rendere un servizio agli utenti, mi autosegnalo per vedere se si può spostare questo nei 3d ufficial.

wizard1993
30-01-2007, 17:30
al link a me da un bellissimo page not found; comunque buona iniziativa

giannola
30-01-2007, 17:33
al link a me da un bellissimo page not found; comunque buona iniziativa
avevo dimenticato la x finale nell'estensione della pagina :stordita:

sampei.nihira
30-01-2007, 20:42
a-squared antimalware sembra un asso contro i ROOTKIT.....almeno dalle caratteristiche citate dalla casa:

http://www.emsisoft.it/it/software/compare/

questo fà la versione a pagamento:

"Live detection of Rootkits and code manipulators "

e la versione free (dopo i 30 gg) solo questo:

"Signature scan for Trojans/Backdoors/Keylogger/Rootkits"

Sarà proprio così ?

Urge una prova.....nV25.....lucas 84 ci sieteeeeeeeee ??

Scusate se ciò si configura come un O.T.

ania
30-01-2007, 21:21
a-squared antimalware sembra un asso contro i ROOTKIT.....almeno dalle caratteristiche citate dalla casa:
questo fà la versione a pagamento:
"Live detection of Rootkits and code manipulators "
e la versione free (dopo i 30 gg) solo questo:
"Signature scan for Trojans/Backdoors/Keylogger/Rootkits"

Ciao:flower: io non ho mai installato a-squared anti malware ( che è la versione shareware.)
Ho sempre installato solo la versione freeware del software che è "a-squared 2.1 free" , ed in effetti , a volte mi ha trovato cose che nessun altro software aveva scovato, però, c'è da dire che se è quello il software che si usa per primo in scansione, e lui rileva qualcosa, io ho l'abitudine di mettere subito in quarantena , ed a volte , anche di eliminare tempestivamente, quindi gli altri software che sopraggiungono dopo in scansione non possono rilevare qualcosa, solo perchè è già stato ramazzato :D da a-squared 2.1 free.

Ho notato che la versione a-squared antidialer ha alcune funzioni assenti in a-squared free, e che sarebbero comprese nella versione share ware, pensate che a-squared anti dialer possa entrare in conflitto con una eventuale real time protection dell'antivirus che dovrebbe avere un modulo anti-dialer anch'esso ?
ciao e grazie

sampei.nihira
30-01-2007, 21:27
**

wizard1993
31-01-2007, 15:53
Ho notato che la versione a-squared antidialer ha alcune funzioni assenti in a-squared free, e che sarebbero comprese nella versione share ware, pensate che a-squared anti dialer possa entrare in conflitto con una eventuale real time protection dell'antivirus che dovrebbe avere un modulo anti-dialer anch'esso ?


si; entra in conflitto con l'avg che è noto per il non dare noia a nessuno

giannola
31-01-2007, 16:30
entra in conflitto con l'avg che è noto per il non dare noia a nessuno


ecco perchè mi piace :stordita: :D

raffaele1978
31-01-2007, 23:15
Ciao,
oggi sono venuto a conoscenza del fatto che nel mio pc sono presenti 9 rootkit. utilizzando un programma che si chima Sophos, il quale però, dopo la scansione, non mi da la possibilità di eliminarli: che fare? Come faccio a sapere se sono o meno maligni?

giannola
01-02-2007, 08:52
Ciao,
oggi sono venuto a conoscenza del fatto che nel mio pc sono presenti 9 rootkit. utilizzando un programma che si chima Sophos, il quale però, dopo la scansione, non mi da la possibilità di eliminarli: che fare? Come faccio a sapere se sono o meno maligni?

i rootkit sono sempre maligni. :D

è l'occasione buona perchè tu scarichi avg antirootkit beta e ci faccia sapere come si comporta. ;)
Lui dovrebbe eliminarteli, mentre noi potremmo avere grazie a te questa "prova su strada".

raffaele1978
01-02-2007, 11:25
i rootkit sono sempre maligni. :D

è l'occasione buona perchè tu scarichi avg antirootkit beta e ci faccia sapere come si comporta. ;)
Lui dovrebbe eliminarteli, mentre noi potremmo avere grazie a te questa "prova su strada".

Allora, ecco la mia esperienza.
Quando ho appreso dell'esistenza dei rootkit, ho installato un programma freeware chiamato Sophos, il quale, dopo aver accertato la presenza di ben 9 rootkit, non mi ha permesso di eliminarli.
Allora, ho installato A-Squared free, che, dopo un'accurata analisi, ha individuato dei file infetti che i normali software non individuano, verosimilmente anche quelli che Sophos aveva trovato.
Dopo averli messi in quarantena, ho scaricato ed installato AVG anti-rootkit, che, però non non ha trovato niente, dal momento che, verosimilmente, quelli indiviudati in precedenza erano già stati rimossi da A-Squared Free.
Stesso risultato ho ottenuto con una nuova scanzione di Sophos.
Ergo, ritengo che A-Squared, accoppiato a questi programmi, allo stato sia una buona soluzione.
Spero di essere stato di aiuto! :D

giannola
01-02-2007, 11:53
Allora, ecco la mia esperienza.
Quando ho appreso dell'esistenza dei rootkit, ho installato un programma freeware chiamato Sophos, il quale, dopo aver accertato la presenza di ben 9 rootkit, non mi ha permesso di eliminarli.
Allora, ho installato A-Squared free, che, dopo un'accurata analisi, ha individuato dei file infetti che i normali software non individuano, verosimilmente anche quelli che Sophos aveva trovato.
Dopo averli messi in quarantena, ho scaricato ed installato AVG anti-rootkit, che, però non non ha trovato niente, dal momento che, verosimilmente, quelli indiviudati in precedenza erano già stati rimossi da A-Squared Free.
Stesso risultato ho ottenuto con una nuova scanzione di Sophos.
Ergo, ritengo che A-Squared, accoppiato a questi programmi, allo stato sia una buona soluzione.
Spero di essere stato di aiuto! :D

oddio così hai dimostrato che a-squared funziona bene, ma nn hai dimostrato che avg anti rootkit nn funzia altrettanto bene. ;)
E se avessi usato prima avg e dopo a-squared ? :eek:

ci resterà il dubbio, vogliamo la contro prova, reinfettati e riprova :ciapet:

wizard1993
01-02-2007, 12:14
a squared non è un cattivo programma; io lo uso su chiavetta per pulire dai casini belli grossi insieme all'antivir e un altra decina di programmi

giannola
01-02-2007, 12:31
a squared non è un cattivo programma; io lo uso su chiavetta per pulire dai casini belli grossi insieme all'antivir e un altra decina di programmi

non metto in dubbio che sia un buon programma.
Dico che se nessuno prova gli altri (come avg beta) non sapremo mai davvero se funzionano e quanto funzionano.
Purtroppo io nn faccio testo perchè il mio pc è pulito come il culetto di un neonato appena lavato. :D

wizard1993
01-02-2007, 12:34
non metto in dubbio che sia un buon programma.
Dico che se nessuno prova gli altri (come avg beta) non sapremo mai davvero se funzionano e quanto funzionano.
Purtroppo io nn faccio testo perchè il mio pc è pulito come il culetto di un neonato appena lavato. :D

sicuro?

giannola
01-02-2007, 12:37
sicuro?

mi sa che tu mi vuoi portare iella. :Prrr:

Il mio pc mi chiede sempre il test del dna e il numero della mia carta di credito per avviarsi :D

wizard1993
01-02-2007, 12:48
mi sa che tu mi vuoi portare iella. :Prrr:

Il mio pc mi chiede sempre il test del dna e il numero della mia carta di credito per avviarsi :D

si all'antica; il mio vuole anche impronte digitali e scanner retinico; poi hd crittografati con aes a 256bit e altre cavolate; tutto difeso da 5 energumeni armati di ak74 e un lanciarazzi che controlla l'operato finale; tutto circondato da un muro di 7 metri












non credo di aver mai sparato tante cazzate in una volta sola in vita mia

wearethechampions
03-02-2007, 12:53
è gratis questo soft?

giannola
03-02-2007, 13:20
è gratis questo soft?
quale ? :mbe:

edit , lascia perdere sono :stordita:
si è gratis, c'è un accordo con la ms stessa.
Crea dei log da postare nel forum di sysinternals.

wearethechampions
03-02-2007, 13:41
quale ? :mbe:

edit , lascia perdere sono :stordita:
si è gratis, c'è un accordo con la ms stessa.
Crea dei log da postare nel forum di sysinternals.
a me nn funziona. faccio scan e poi si blokka dumping.... HKLM live o una cosa simile. xkè?

giannola
03-02-2007, 13:44
a me nn funziona. faccio scan e poi si blokka dumping.... HKLM live o una cosa simile. xkè?

come si blocca ?
Per caso esegui altre applicazioni durante la scansione ?

wearethechampions
03-02-2007, 13:59
come si blocca ?
Per caso esegui altre applicazioni durante la scansione ?
la 1 volta c'era opera, ma la 2da ho chiuso firewall(ZA), opera, antivirus (antivir) S&D. ho kiuso tutto il kiudibile ma si è blokkato

giannola
03-02-2007, 14:07
la 1 volta c'era opera, ma la 2da ho chiuso firewall(ZA), opera, antivirus (antivir) S&D. ho kiuso tutto il kiudibile ma si è blokkato

si ferma senza darti alcun messaggio ?
dal task manager appare come bloccato ?

wearethechampions
03-02-2007, 14:17
si ferma senza darti alcun messaggio ?
dal task manager appare come bloccato ?
nn si apre proprio il task. praticamnìente si muove solo il mouse

giannola
03-02-2007, 14:25
nn si apre proprio il task. praticamnìente si muove solo il mouse

aspè non si apre quando il processo è in esecuzione giusto ?

prova ad aprire prima il task e poi ad eseguire il processo e vedi che succede.

altrimenti fai partire un antirootkit a scelta (avg , f-secure).

vinc_it
06-02-2007, 11:45
Ho fatto una scansione con RootkitRevealer e il risultato è il seguente:

HKLM\SECURITY\Policy\Secrets\SAC* 20/04/2006 13.51 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 20/04/2006 13.51 0 bytes Key name contains embedded nulls (*)

Sono dei rootkit? Che devo fare, cancello? Non se se possa avere qualche importanza il fatto che il 20/04/2006 è la data in cui ho formattato il computer.
P.S. Spero di aver postato nella sezione giusta. Ciao.

giannola
06-02-2007, 11:51
Ho fatto una scansione con RootkitRevealer e il risultato è il seguente:

HKLM\SECURITY\Policy\Secrets\SAC* 20/04/2006 13.51 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 20/04/2006 13.51 0 bytes Key name contains embedded nulls (*)

Sono dei rootkit? Che devo fare, cancello? Non se se possa avere qualche importanza il fatto che il 20/04/2006 è la data in cui ho formattato il computer.
P.S. Spero di aver postato nella sezione giusta. Ciao.

sono dei falsi positivi ;)

vinc_it
06-02-2007, 11:57
sono dei falsi positivi ;)

Cancellarli comporterebbe qualche problema? Grazie, comunque.

giannola
06-02-2007, 12:07
Cancellarli comporterebbe qualche problema? Grazie, comunque.
non vanno cancellati, al limite puoi specificare al programma che nn ne tenga conto.

vinc_it
06-02-2007, 12:10
non vanno cancellati, al limite puoi specificare al programma che nn ne tenga conto.

Ti ringrazio, sei stato molto gentile!

giannola
06-02-2007, 12:20
Ti ringrazio, sei stato molto gentile!

se ne parla proprio nel forum di sysinternals
http://forum.sysinternals.com/forum_posts.asp?TID=8881&PN=1

Hakuna Matata
26-02-2007, 20:15
Le sto tentando tutto per rimuovere un trojan che rallenta la connessione sul pc dei miei, voi ci vedete qualcosa di strano qui?

HKLM\SECURITY\Policy\Secrets\SAC* 05/06/2006 15.05 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 05/06/2006 15.05 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 26/02/2007 20.51 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 26/02/2007 20.51 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 09/07/2006 12.54 0 bytes Access is denied.
C:\Documents and Settings\utente\Desktop\a2FreeSetup.exe 26/02/2007 20.56 576.00 KB Hidden from Windows API.
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\Data\2882690577_group.dat 26/02/2007 20.55 201 bytes Hidden from Windows API.

Gort84
08-03-2007, 16:20
Ragazzi scusate ma come faccio a cancellare i rootkits ke mi trova RootkitRevealer???
Si può è crea solo 1 Log??:confused:

PrezerDj
08-03-2007, 20:25
HKLM\SECURITY\Policy\Secrets\SAC* 31/12/2006 10.50 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 31/12/2006 10.50 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 31/12/2006 11.11 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 08/03/2007 21.18 4 bytes Data mismatch between Windows API and raw hive data.


questa è la scansione del mio pc, i primi 2 ho letto che sono falsi positivi, e gli altri 2?

spero mi possiate rispondere