View Full Version : Strascichi da virus
Salve a tutti,
avant’ieri mi son beccato un bel virus solo perché si è aperta involontariamente una pagina XXX.
Cosa mi ha combinato il virus:
a- mi ha modificato il file hosts mettendomi una serie lunga di indirizzi tipo www.doubleclick.com ecc.
b- il file viene lasciato bloccato e quindi non si può rimettere a posto con il classico “127.0.0.1 localhost”
c- sul desktop di windows, vicino all’orologio mi compare un’icona 8triangolino giallo con punto esclamativo) e un messaggio che esce ripetutamente dicendomi che windows è infetto e occorre scaricare l’antivirus di windows.
d- il resto lo descrivo dopo.
Dopo innumerevoli tentativi trovo come unica soluzione quella di far partire il computer in modalità di ripristino, nella consolle di ripristino e modificare il file.
Al primo riavvio il virus mi rimette le schifezze nel file hosts.
Rifaccio l’operazione dalla consolle di ripristino flaggando il file come ReadOnly.
Il computer riparte ma sempre mandandomi il problema del punto C.
Dopo aver fatto passare l’AVG , l’AD-AWARE, lo SpyBot, Il SysClean di trenmicro i quali hanno trovato pochissimi virus il problema è rimasto.
Ho anche fatto un controllo con l’hijackthis ed ho eliminato un po’ di porcherie ma ad ogni riavvio si ripresentava un file printer.exe. Dal task manager mi ha insospettito anche un file in esecuzione denominato spoolvs.exe (attenzione vs e non sv che quello è di windo).
Ho ripulito l’hd su di un altro computer e facendo partire gli stessi antivirus che hanno trovato altra roba. Ed ho anche eliminato il printer.exe che lo spoolvs.exe (tutti e due in system32).
Ora il computer apparentemente funziona bene tranne per il fatto che il pannello di controllo non esiste più, qualsiasi operazione voglio fare da amministratore non me la fa fare, mi dice che ci sono delle limitazioni sull’utente. Premesso che, andando in modalità provvisoria come amministratore mi inibisce le stesse funzioni e verificando che l’utente administrator ed il mio utente entrambi fanno parte del gruppo administratrs, non so più che pesci prendere.
Un esempio, avevo disattivato gli aggiornamenti automatici di windows, pertanto sulla barra vicino all’orologio mi compare lo scudo rosso; ci clicco su due volte e mi dice che non ho i diritti sufficienti, dallo start vado su “impostazioni accesso programmi” mi risponde con lo stesso messaggio!
---->>>>>>>>>> Che devo fare?????
La domada che mi pongo è la seguente:
come mai, verificato che l'utente è classificato come administrators, ho alcune funzioni di amministratore bloccate?
Come faccio a riprendermi i diritti di amministratore (semprecchè li abbia persi)???
Forse se dici di che virus si trattava, è più facile per chi può darti una mano l'analisi del problema...
Comunque potresti provare a fare una cosa.
Inserisci il disco d'installazione, meglio se comprensivo di SP2, e poi, senza uscire dal SO, fai Start->esegui-> sfc /scannow. (notare lo spazio tra sfc e /)
Se qualche file di sistema è andato perduto o corrotto, questa operazione dovrebbe rilevarlo e forse anche ripristinare i file di cui il sistema necessita.
Ti ringrazio per avermi dato l'informazione sul comando sfc che non conoscevo.
Ottima cosa per evitare il ripristino da cd di windows.
Per il mio caso non ha però funzionato: faccio partire il comando sfc /scannow,
inizia
mi chiede il cd di windows, gli metto quello con cui ho fatto l'installazione (che tra l'altr ha anche le SP2 dentro) mi dice che il cd non è buono.
Ho provato in tutti i modi, anche a cambiare lettore ma niente.
Il cd funziona non foss'altro che come lo inserisco mi parte la maschera dell'installazione, lo uso spesso... ...Bohh!!
Per quanto riguarda i virus trovati e debellati (dopo un'infinità di peripezie):
fraudtool.win32.antivirus.2006
Downloader.win32.agent.agh
Downloader.win32.winfixer.x
Downloader.small.agh
Ora continuo a chiedermi: perchè il pc sta in una situazione attive delle restrizione sugli amministratori??? ...anche in modalità provvisoria???
Per il primo punto: http://trucchi.swzone.it/swztips.php?action=tips&id=174
ho avuto anch'io il tuo stesso problema. ;)
Però, rispondendo anche al secondo punto, non so quanto potrebbe risolvere (forse zero) ciò che ti ho suggerito, visto tutte le infezioni che sei riuscito (beato te!) a rilevare.
Spero che anche altre persone del forum s'interessino al tuo caso perchè forse merita di essere approfondito. E soprattutto che ti diano una mano. Io non ne sono assolutamente all'altezza purtroppo. :boh:
Comunque potresti provare a fare una cosa.
Inserisci il disco d'installazione, meglio se comprensivo di SP2, e poi, senza uscire dal SO, fai Start->esegui-> sfc /scannow. (notare lo spazio tra sfc e /)
Se qualche file di sistema è andato perduto o corrotto, questa operazione dovrebbe rilevarlo e forse anche ripristinare i file di cui il sistema necessita.
Sono riuscito ad eseguire il comando il quale ora ha funzionato correttamente ma, per quanto riguarda sia le restrizioni d'uso non è cambiato niente.
Ho anche provato, in modo del tutto inconsapevole ad eseguire l'sfc con l'opzione /purgecache ma non ho riscontrato nessun effetto.
juninho85
01-09-2007, 13:49
che restrizioni sono attive?
che restrizioni sono attive?
come ho scritto sopra:
- se faccio tasto dx su risorse del computer-proprietà mi dice (vedi immagine allegata) "operazione annullata. sul compuetr sono attive restrizioni. contattare l'amministratore" ... l'amministratore sono io!
- Avendo bloccato l'aggiornamento automatico di windows sulla barra vicino l'orologio mi compare lo scudo rosso: se clicco sullo scudo rosso mi compare la stessa voce;
- premendo su start non compare più il pannello di controllo; se vado sulla barra di sotto del desktop, tasto dx, proprietà, menu di avvio, personalizza, avanzate, nell'elenco dei programmi visualizzabili sul menu di avvio non c'è proprio la voce pannello di controllo (pertanto non lo posso ne abilitare ne disabilitare perchè non c'è)... ...questo comporta che in nessun modo posso andare in sistema
- da start eseguendo "impostazioni accesso ai programmi" mi da lo stesso messaggio... ...questo comporta che non posso andare in installazioni applicazioni;
- ecc
- tutto questo, come descritto prima avviene sia nel mio utente che in quello administrator, sia in modalità normale che in provvisoria. Ho anche controllato che entrambi gli utenti appartenesssero al gruppo administartors.
Forse juninho intendeva suggerirti di guardare in
Pannello di controllo -> Strumenti d'amministrazione -> Gestione del computer -> Microsoft System Information -> Ambiente Software -> Gruppi programmi
e da lì vedere chi ha i permessi di gestire cosa.
Almeno credo, eh!
[edit]
Mi sta venendo in mente anche un'altra cosa: di recente hai installato il .Net Framework?
(vado per tentativi, ma il framework crea un utente, ASPNET mi sembra), se lo si cancella o disabilita è meglio)
Forse juninho intendeva suggerirti di guardare in
Pannello di controllo -> Strumenti d'amministrazione -> Gestione del computer -> Microsoft System Information -> Ambiente Software -> Gruppi programmi
ha il pannello di controllo disabilitato...
:mc:
juninho85
02-09-2007, 11:30
posta log di hijackthis e gmer
posta log di hijackthis e gmer
Se riesce a farli girare... :what:
Come utente con restrizioni, a me, il sistema non ha mai permesso di lanciare programmi del genere...
Salve a tutti,
avant’ieri mi son beccato un bel virus
Scusa j100, a questo punto credo che faresti bene a dirci di che virus si trattasse. Vedo in un altro thread (Restrizioni) un utente che semba avere i tuoi stessi problemi e il virus (o worm) che ha tentato di togliere a mano è: hadajajr.ini.
Puoi dirci se è lo stesso?
lancetta
02-09-2007, 15:37
Ciao prova questo fix http://download.sergiwa.com/security/RRT.exe dovrebbe rirpristinarti i permessi e le opzioni scomparse.
Scusa j100, a questo punto credo che faresti bene a dirci di che virus si trattasse. Vedo in un altro thread (Restrizioni) un utente che semba avere i tuoi stessi problemi e il virus (o worm) che ha tentato di togliere a mano è: hadajajr.ini.
Puoi dirci se è lo stesso?
come scritto 5 o 6 post prima
Per quanto riguarda i virus trovati e debellati (dopo un'infinità di peripezie):
fraudtool.win32.antivirus.2006
Downloader.win32.agent.agh
Downloader.win32.winfixer.x
Downloader.small.agh
posta log di hijackthis e gmer
Sotto il log di hijackthis... ...credo lo troverai pulito inquanto uso lo stesso per trovare le schifezze e poi le tolgo manualmente (oltrew a passare dopo gli antivirus).
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.58.05, on 03/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
F:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
F:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
f:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
F:\Programmi\ATI Technologies\ATI.ACE\cli.exe
F:\WINDOWS\system32\RunDll32.exe
F:\PROGRA~1\Grisoft\AVG7\avgcc.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
F:\Programmi\MSI\Common\Bin\WinCinemaMgr.exe
F:\Programmi\WinZip\WZQKPICK.EXE
F:\WINDOWS\system32\wscntfy.exe
F:\Programmi\Outlook Express\msimn.exe
F:\Programmi\Internet Explorer\iexplore.exe
K:\software\antivirus\merijn\2_00beta\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] F:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "F:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Norton Ghost 9.0] F:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] F:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [EPSON PictureMate] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P17 "EPSON PictureMate" /O6 "USB002" /M "PictureMate"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] F:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = F:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = F:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programmi\MSI\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://F:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://F:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{730F74E3-4462-4B6A-8B6F-3F4D59349FCA}: NameServer = 192.168.1.254
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton Ghost - Symantec Corporation - F:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - f:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
Scusa j100, a questo punto credo che faresti bene a dirci di che virus si trattasse. Vedo in un altro thread (Restrizioni) un utente che semba avere i tuoi stessi problemi e il virus (o worm) che ha tentato di togliere a mano è: hadajajr.ini.
Puoi dirci se è lo stesso?
Gentilmente mi protresti mettere il link dell'altro thread ?
Grazie mille
Ciao prova questo fix http://download.sergiwa.com/security/RRT.exe dovrebbe rirpristinarti i permessi e le opzioni scomparse.
Programma molto bello... ...non cè il pannello di controllo oppure sistema (quello che serve a me) ma comunque utilissimo per altre situazioni.
Da tenere sempre a portata di mano.
Grazie
Chill-Out
03-09-2007, 12:54
Forse è una banalità, ma questa procedura l'hai già fatta http://support.microsoft.com/?kbid=290109
Senti j100 (vado sempre per tentativi), puoi controllare se hai questo file?
C:\WINDOWS\system32\ntos.exe
PS: per il thread con problemi simili al tuo, non c'è bisogno che ti posti il link. Sta in questa stessa sezione e s'intitola "Restrizioni"... non credo sia tanto difficile da trovare...! ;)
lancetta
03-09-2007, 16:16
un tentativo per il pannello controllo:controllare in regedit "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\POLICIES\EXPLORER\"
se c'è questa voce per caso NOSETFOLDERS.
Forse è una banalità, ma questa procedura l'hai già fatta http://support.microsoft.com/?kbid=290109
il problema fondamentale è che anche in modalità provvisoria non posso andare in pannello di controllo.
un tentativo per il pannello controllo:controllare in regedit "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\POLICIES\EXPLORER\"
se c'è questa voce per caso NOSETFOLDERS.
devo controllarlo domani mattina inquanto sono fuori sede
grazie per l'indicazione
Senti j100 (vado sempre per tentativi), puoi controllare se hai questo file?
C:\WINDOWS\system32\ntos.exe
No, non c'è... ...per contro c'è ntoskrnl.exe
un tentativo per il pannello controllo:controllare in regedit "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\POLICIES\EXPLORER\"
se c'è questa voce per caso NOSETFOLDERS.
quella voce non c'è...
...per contro ho trovato altro:
NOCONTROLPANEL con flag impostato ad 1... ...l'ho impostato a 0 e non appena salvo questo posto riavvio.
Una domanda: sai qual'è l'azione specifica di NOSETFOLDERS ?
Chill-Out
04-09-2007, 10:41
No, non c'è... ...per contro c'è ntoskrnl.exe
che è legittimo -> Microsoft Boot Up Kernel
che è legittimo -> Microsoft Boot Up Kernel
Purtroppo sono costretto a dimostrare la mia ignoranza (in realtà questa mattina non ho preso nemmeno il caffè):
che relazione a ntoskrnl con il Boot Up Kernel ?
quella voce non c'è...
...per contro ho trovato altro:
NOCONTROLPANEL con flag impostato ad 1... ...l'ho impostato a 0 e non appena salvo questo posto riavvio.
Una domanda: sai qual'è l'azione specifica di NOSETFOLDERS ?
Buca!
anche impostanto NOCONTROLPANEL=0 il pannello di controllo non è tornanato!
:cry: :doh: :muro:
Chill-Out
04-09-2007, 11:03
Purtroppo sono costretto a dimostrare la mia ignoranza (in realtà questa mattina non ho preso nemmeno il caffè):
che relazione a ntoskrnl con il Boot Up Kernel ?
io vado per il secondo caffè adesso :D
"ntoskrnl.exe is a critical process in the boot-up cycle of your computer although should never appear in WinTasks whilst under normal circumstances"
comunque non credo abbia a che fare col tuo problema, a proposito come và?
"ntoskrnl.exe is a critical process in the boot-up cycle of your computer although should never appear in WinTasks whilst under normal circumstances"
... a proposito come và?
L'informazione mi serviva per pura conoscenza tecnica. Grazie mille.
Alla domanda come va ti rispondo: ad oggi non sono padrone del mio computer!
Traduco: ho ancora tutte le restrizioni che avevo (nessuna esclusa) vedasi i vari post prima.
Non ho nessuna voglia di riformattare! Vorrei risolvere il problema che comunque dovrebbe essere stato causato da uno o più virus recenti i quali hanno combinato pastrocchi non si sa dove (forse nei registri). Debellati i virus, sono rimaste le restrioni.
:muro: :help: :muro: :help:
lancetta
04-09-2007, 23:51
quella voce non c'è...
...per contro ho trovato altro:
NOCONTROLPANEL con flag impostato ad 1... ...l'ho impostato a 0 e non appena salvo questo posto riavvio.
Una domanda: sai qual'è l'azione specifica di NOSETFOLDERS ?
Ciao la voce fà scomparire l'icona del Pannello di Controllo,stampanti e rete.
Purtroppo sto andando anche io a tentativi...:muro: sembra che sia una nuova varinte malware che crea sti problemi come faceva il vecchio linkoptmizer..ma molto più bastarda:incazzed:
lancetta
04-09-2007, 23:53
EDIT:controlla se ci sono queste voci in regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoLogOff" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoSetFolders" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
Chiaramente imposta a 0
Riguardo alla tipologia e al sistema di incasinamento creato mi sa proprio che la pensiamo nello stesso modo!
EDIT:controlla se ci sono queste voci in regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"
Questa voce non lho trovata dove hai specificato tu ma in
HKLM\SOFTWARE\\MICROSOFT\WINDOWSNT\CURRENTVERSION\SYSTEMRESTORE
dove il disable sr era impostato a 1 e l'ho messo a 0
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoRun" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoLogOff" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoSetFolders" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
Queste altre non ci sono.
Il problema persiste ma penso che la strada sia quella giusta... ...occorre "solo" trovare le giuste chiavi che il "fetente" ha modificato.
Grazie per l'aiuto.
---> Più cose pubblichiamo sui registri di windows più aumenta la cultura generale in merito visto che su questi non c'è uno straccio di documento informativo o quelle poche cose che ci sono servono per modificare il solo aspetto.
Mica risolto il problema?
L'altro giorno ne ho risolto uno simile... mi ha portato via un po di tempo ma con calma ne son venuto fuori...
Mica risolto il problema?
L'altro giorno ne ho risolto uno simile... mi ha portato via un po di tempo ma con calma ne son venuto fuori...
No, il problema non l'ho risolto.
Se puoi dirmi come lo hai risolto te ne sarei molto grato!!! :D
lancetta
17-09-2007, 10:12
No, il problema non l'ho risolto.
Se puoi dirmi come lo hai risolto te ne sarei molto grato!!! :D
Siccome non ti avevo più sentito....ti propongo ancora un altro tool
scarica elistarA http://www.zonavirus.com/datos/descargas/78/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne terza, dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C:
No, il problema non l'ho risolto.
Se puoi dirmi come lo hai risolto te ne sarei molto grato!!! :D
Intanto guardiamo se si tratta della solita bestia...
c:\programmi\file comuni\system\ c'e' roba strana?
Tra gli utenti c'hai qualche utente strano... se non riesci ad arrivarci da pannello di controllo, vai in explo risorse c\windows\system32 e cerca *.msc o lancia direttamente "lusrmgr.msc"
Per le restrizioni in atto, se il virus lo hai effettivamente tolto, cerca nel regedit, come ti hanno detto, "policies" tra le chiavi... forse ne hai uno scritto con la p maiuscola... sotto forse hai un explorer... cancella tutta la chiave... tanto se la macchiana e' tua e sei admin, che te frega di avere delle policies...
casomai quello che poi vuoi realmente te le risetti.
Controlla il file host di windows... anche con le util del spybot va bene...
fammi sapere.
ahhh... scarica il rootkit reveal o come si chiama della mcafee... e dai un occhiata a cosa ti spara fuori...
Siccome non ti avevo più sentito....ti propongo ancora un altro tool
scarica elistarA http://www.zonavirus.com/datos/descargas/78/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne terza, dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C:
Lindo e pinto!
Mon Sep 17 11:52:56 2007
EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE
Mon Sep 17 11:54:02 2007
EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Mon Sep 17 11:54:20 2007
EliStartPage v14.64 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
F:\Programmi\File comuni\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ
F:\Programmi\K-Lite Codec Pack\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor
Intanto guardiamo se si tratta della solita bestia...
c:\programmi\file comuni\system\ c'e' roba strana?
No.
Tra gli utenti c'hai qualche utente strano... se non riesci ad arrivarci da pannello di controllo, vai in explo risorse c\windows\system32 e cerca *.msc o lancia direttamente "lusrmgr.msc"
Niet!
Per le restrizioni in atto, se il virus lo hai effettivamente tolto, cerca nel regedit, come ti hanno detto, "policies" tra le chiavi... forse ne hai uno scritto con la p maiuscola... sotto forse hai un explorer... cancella tutta la chiave... tanto se la macchiana e' tua e sei admin, che te frega di avere delle policies...
casomai quello che poi vuoi realmente te le risetti.
Tutto corretto senza p maiuscole
Controlla il file host di windows... anche con le util del spybot va bene...
127.0.0.1 localhost
Più pulito di così
Tutto corretto senza p maiuscole
Gia'... tutto pulito... mentre fai girare il mcafee rootkit detective
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
Gurda...
Qui sotto hai qualcosa?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
Esporta e copia direttamente le chiavi :D
Creco di darti una mano perche' il tuo post mi ha suggerito alcune cose che mi eran sfuggite per controllare sul pc che ho sistemato qualche gg fa...
Gia'... tutto pulito... mentre fai girare il mcafee rootkit detective
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
Gurda...
Qui sotto hai qualcosa?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoWindowsUpdate"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies
non esiste
HKEY_CURRENT_USER\Software\Policies
[HKEY_CURRENT_USER\Software\Policies]
[HKEY_CURRENT_USER\Software\Policies\Microsoft]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\ca]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\ca\Certificates]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\ca\CRLs]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\ca\CTLs]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\disallowed]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\disallowed\Certificates]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\disallowed\CRLs]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\disallowed\CTLs]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\trust]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\trust\Certificates]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\trust\CRLs]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\trust\CTLs]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\TrustedPublisher]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\Certificates]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\CRLs]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\CTLs]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Windows Update]
"NoAutoUpdate"=dword:00000001
"NoWindowsUpdate"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AutoUpdate"=dword:00000001
HKEY_CURRENT_USER\Software\Windows\CurrentVersion\Policies
questa è uguale alla seconda
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
Gia'... tutto pulito... mentre fai girare il mcafee rootkit detective
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
cosa vuoi vedere:
-tutto il file (te lo posto perchè è lunghino)
-solo view hidden registry
Le policies le avresti anche pulite... mah... :confused:
Per scrpolo hai dato un occhiata con gpedit.msc ?
cosa vuoi vedere:
-tutto il file (te lo posto perchè è lunghino)
-solo view hidden registry
Lo puoi allegare qui?
Prova questa cavolata... imposta il menu da classico a quello di win xp e viceversa... e prova nelle opzioni dei menu a dis/abilitare il pannello di controllo e l'espansione dello stesso... :fagiano:
Yuppy!!!
Prova questa cavolata... imposta il menu da classico a quello di win xp e viceversa... e prova nelle opzioni dei menu a dis/abilitare il pannello di controllo e l'espansione dello stesso... :fagiano:
Impostando il menu classic, attivando pannell0o di controllo , applica, e poi ritornando al menu win xp tutto si è rimesso a posto !!!! :eek: :D :) :) :)
Le altre cose scritte su non le ho fatte ... ... son partito dalla più semplice.
Questa cosa è alquanto strana... ...come lo è tutto il funzionamento di windows!
Grazie mille a tutti
lancetta
18-09-2007, 12:08
Yuppy!!!
Impostando il menu classic, attivando pannell0o di controllo , applica, e poi ritornando al menu win xp tutto si è rimesso a posto !!!! :eek: :D :) :) :)
Le altre cose scritte su non le ho fatte ... ... son partito dalla più semplice.
Questa cosa è alquanto strana... ...come lo è tutto il funzionamento di windows!
Grazie mille a tutti
nientedimeno!!!:eek: le vie di bill sono infinite:rolleyes:
In cambio, cliccando start ho "perso" la voce esegui ... ... ma non m'importa molto.
lancetta
18-09-2007, 12:49
In cambio, cliccando start ho "perso" la voce esegui ... ... ma non m'importa molto.
Mah.....comunque ci sono problemi nel tuo pc:rolleyes: prova avviare REGEDIT(si trova in C:Windows) e cercare la chiave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\ selezionare Modifica, Nuovo valore DWORD e inserire il nome NORUN cliccare sul valore e inserire 1.
Yuppy!!!
Impostando il menu classic, attivando pannell0o di controllo , applica, e poi ritornando al menu win xp tutto si è rimesso a posto !!!! :eek: :D :) :) :)
;-)
Son contento di averti aiutato :-)
A presto :-)
P.S. Lo saprai sicuramente, tasto win + r per l'esegui e' assai piu' veloce ;-)
Caro dsgm,
ti ringrazio infinitamente per l'aiuto(*)... ...però mi sa che lancetta ha proprio ragione quando dice che sul mio computer c'è qualcosa che non va!
(*) Mi interessa molto di più il pannello di controllo che l'esegui.
Infatti:
Facendo win + r ho scoperto che windows mi da lo stesso messaggio d'errore che mi dava prima con le altre applicazioni!
Ora, premesso che per me non ha significato perdere tempo per il semplice motivo di avere l'esegui, se vogliamo insieme provare a capire perchè succede questa cosa possiamo tutti imparare qualcosa di nuovo e avere una conoscenza più elevata del più grande rompicapo mai costruito da un uomo (Bill): a confronto il cubo di Rubik è un giochino per neonati!
@ Lancetta
aggiunta la voce DWORD con nome NoRun e impostato il valore a 1 la situazione non cambia.
Le policies le avresti anche pulite... mah... :confused:
Per scrpolo hai dato un occhiata con gpedit.msc ?
Capisco la faccina brutta messa dopo la prima frase; credendo che le policies che sono impostate non hanno nesso con il problema non le ho cancellate... ...visto che di parecchie non ne conosco il significato ho evitato di fare s....ate.
ho fatto partire il gpedit. Ho controllato tutti i meandri delle policies ma sono quasi tutte non impostate e quelle poche sembrano più che lecite... in realtà lo avevo già fatto prima ma per scrupolo l'ho ricontrollato ugualmente.
McAfee(R) Rootkit Detective 1.0 scan report
On 17-09-2007 at 17:35:19
OS-Version 5.1.2600
Service Pack 2.0
====================================
Object-Type: SSDT-hook
Object-Name: ZwAcceptConnectPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAccessCheck
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAccessCheckAndAuditAlarm
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAccessCheckByType
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAccessCheckByTypeAndAuditAlarm
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAccessCheckByTypeResultList
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAccessCheckByTypeResultListAndAuditAlarm
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAccessCheckByTypeResultListAndAuditAlarmByHandle
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAddAtom
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAddBootEntry
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAdjustGroupsToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAdjustPrivilegesToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAlertResumeThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAlertThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAllocateLocallyUniqueId
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAllocateUserPhysicalPages
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAllocateUuids
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAllocateVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAreMappedFilesTheSame
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwAssignProcessToJobObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCallbackReturn
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCancelDeviceWakeupRequest
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCancelIoFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCancelTimer
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwClearEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCloseObjectAuditAlarm
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCompactKeys
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCompareTokens
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCompleteConnectPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCompressKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwContinue
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateDebugObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateDirectoryObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateEventPair
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateIoCompletion
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateJobObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateJobSet
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateMailslotFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateMutant
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateNamedPipeFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreatePagingFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreatePort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateProcessEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateProfile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateSection
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateSemaphore
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateSymbolicLinkObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateTimer
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateWaitablePort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDebugActiveProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDebugContinue
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDelayExecution
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDeleteAtom
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDeleteBootEntry
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDeleteFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDeleteObjectAuditAlarm
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDeviceIoControlFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDisplayString
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwDuplicateToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwEnumerateBootEntries
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwEnumerateSystemEnvironmentValuesEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwExtendSection
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFilterToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFindAtom
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFlushBuffersFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFlushInstructionCache
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFlushKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFlushVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFlushWriteBuffer
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFreeUserPhysicalPages
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFreeVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwFsControlFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwGetContextThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwGetDevicePowerState
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwGetPlugPlayEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwGetWriteWatch
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwImpersonateAnonymousToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwImpersonateClientOfPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwImpersonateThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwInitializeRegistry
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwInitiatePowerAction
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwIsProcessInJob
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwIsSystemResumeAutomatic
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwListenPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwLoadKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwLockFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwLockProductActivationKeys
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwLockRegistryKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwLockVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwMakePermanentObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwMakeTemporaryObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwMapUserPhysicalPages
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwMapUserPhysicalPagesScatter
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwMapViewOfSection
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwModifyBootEntry
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwNotifyChangeDirectoryFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwNotifyChangeKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwNotifyChangeMultipleKeys
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenDirectoryObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenEventPair
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenIoCompletion
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenJobObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenMutant
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenObjectAuditAlarm
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenProcessToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenProcessTokenEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenSemaphore
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenSymbolicLinkObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenThreadToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenThreadTokenEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenTimer
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwPlugPlayControl
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwPowerInformation
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwPrivilegeCheck
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwPrivilegeObjectAuditAlarm
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwPrivilegedServiceAuditAlarm
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwProtectVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwPulseEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryAttributesFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryBootEntryOrder
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryBootOptions
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryDebugFilterState
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryDefaultLocale
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryDefaultUILanguage
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryDirectoryFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryDirectoryObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryEaFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryFullAttributesFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryInformationAtom
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryInformationFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryInformationJobObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryInformationPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryInformationProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryInformationThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryInformationToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryInstallUILanguage
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryIntervalProfile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryIoCompletion
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryMultipleValueKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryMutant
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryOpenSubKeys
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryPerformanceCounter
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryQuotaInformationFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQuerySection
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQuerySecurityObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQuerySemaphore
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQuerySymbolicLinkObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQuerySystemEnvironmentValue
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQuerySystemEnvironmentValueEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQuerySystemInformation
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQuerySystemTime
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryTimer
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryTimerResolution
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryVolumeInformationFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueueApcThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRaiseException
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRaiseHardError
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReadFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReadFileScatter
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReadRequestData
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReadVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRegisterThreadTerminatePort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReleaseMutant
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReleaseSemaphore
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRemoveIoCompletion
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRemoveProcessDebug
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRenameKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReplyPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReplyWaitReceivePort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReplyWaitReceivePortEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReplyWaitReplyPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRequestDeviceWakeup
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRequestPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRequestWakeupLatency
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwResetEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwResetWriteWatch
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwResumeProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwResumeThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSaveKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSaveKeyEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSaveMergedKeys
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetBootEntryOrder
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetBootOptions
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetContextThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetDebugFilterState
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetDefaultHardErrorPort
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetDefaultLocale
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetDefaultUILanguage
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetEaFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetEventBoostPriority
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetHighEventPair
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetHighWaitLowEventPair
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetInformationDebugObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetInformationFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetInformationJobObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetInformationKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetInformationObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetInformationProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetInformationThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetInformationToken
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetIntervalProfile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetIoCompletion
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetLdtEntries
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetLowEventPair
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetLowWaitHighEventPair
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetQuotaInformationFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetSecurityObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetSystemEnvironmentValue
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetSystemEnvironmentValueEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetSystemInformation
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetSystemPowerState
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetSystemTime
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetThreadExecutionState
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetTimer
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetTimerResolution
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetUuidSeed
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSetVolumeInformationFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwShutdownSystem
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSignalAndWaitForSingleObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwStartProfile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwStopProfile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSuspendProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSuspendThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwSystemDebugControl
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwTerminateJobObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwTerminateThread
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwTestAlert
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwTraceEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwTranslateFilePath
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwUnloadDriver
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwUnloadKey
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwUnloadKeyEx
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwUnlockFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwUnlockVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwUnmapViewOfSection
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwVdmControl
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWaitForDebugEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWaitForMultipleObjects
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWaitForSingleObject
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWaitHighEventPair
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWaitLowEventPair
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWriteFile
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWriteFileGather
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWriteRequestData
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWriteVirtualMemory
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwYieldExecution
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwCreateKeyedEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwOpenKeyedEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwReleaseKeyedEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwWaitForKeyedEvent
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: SSDT-hook
Object-Name: ZwQueryPortInformationProcess
Object-Path: E:\WINDOWS\system32\ntoskrnl.exe
Object-Type: IRP-hook
Object-Name: \Driver\Tcpip->IRP_MJ_INTERNAL_DEVICE_CONTROL
Object-Path: \SystemRoot\System32\Drivers\avgtdi.sys
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ids
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\blue.Shortcut\shell\open\command
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\blue.Shortcut
Status: Registy value-data mismatch
Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1952
Object-Path: F:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 2200
Object-Path: F:\WINDOWS\system32\ati2evxx.exe
Status: Visible
Object-Type: Process
Object-Name: avgamsvr.exe
Pid: 2572
Object-Path: F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
Status: Visible
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1612
Object-Path: F:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: lsass.exe
Pid: 1272
Object-Path: F:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: Process
Object-Name: wdfmgr.exe
Pid: 2360
Object-Path: F:\WINDOWS\system32\wdfmgr.exe
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: MDM.EXE
Pid: 1152
Object-Path: F:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1432
Object-Path: F:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: winlogon.exe
Pid: 1216
Object-Path: F:\WINDOWS\system32\winlogon.exe
Status: Visible
Object-Type: Process
Object-Name: avgcc.exe
Pid: 3820
Object-Path: F:\PROGRA~1\Grisoft\AVG7\avgcc.exe
Status: Visible
Object-Type: Process
Object-Name: WinCinemaMgr.ex
Pid: 2956
Object-Path: F:\Programmi\MSI\Common\Bin\WinCinemaMgr.exe
Status: Visible
Object-Type: Process
Object-Name: avgemc.exe
Pid: 2336
Object-Path: F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1656
Object-Path: F:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: csrss.exe
Pid: 1192
Object-Path: F:\WINDOWS\system32\csrss.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1564
Object-Path: F:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 2340
Object-Path:
\software\antivirus\mcafee\McafeeRootkitDetective\Rootkit_Detective.exe
Status: Visible
Object-Type: Process
Object-Name: avgupsvc.exe
Pid: 728
Object-Path: F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1504
Object-Path: F:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: WZQKPICK.EXE
Pid: 2964
Object-Path: F:\Programmi\WinZip\WZQKPICK.EXE
Status: Visible
Object-Type: Process
Object-Name: smss.exe
Pid: 1136
Object-Path: F:\WINDOWS\system32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: services.exe
Pid: 1260
Object-Path: F:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: Process
Object-Name: ctfmon.exe
Pid: 2904
Object-Path: F:\WINDOWS\system32\ctfmon.exe
Status: Visible
Object-Type: Process
Object-Name: ntvdm.exe
Pid: 4020
Object-Path: F:\WINDOWS\system32\ntvdm.exe
Status: Visible
Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 1420
Object-Path: F:\WINDOWS\system32\ati2evxx.exe
Status: Visible
Object-Type: Process
Object-Name: CLI.exe
Pid: 2816
Object-Path: F:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
Status: Visible
Object-Type: Process
Object-Name: CLI.exe
Pid: 2940
Object-Path: F:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
Status: Visible
Object-Type: Process
Object-Name: a2service.exe
Pid: 368
Object-Path: F:\Programmi\a-squared Free\a2service.exe
Status: Visible
Object-Type: Process
Object-Name: explorer.exe
Pid: 2260
Object-Path: F:\WINDOWS\explorer.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 2292
Object-Path: F:\WINDOWS\system32\svchost.exe
Status: Visible
Scan complete. Hidden registry keys/values: 3
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ids
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\blue.Shortcut\shell\open\command
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\blue.Shortcut
Status: Registy value-data mismatch
dove andando a vedere quello che c'è in regedit:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\blue.Shortcut]
@="blue. s"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\blue.Shortcut\shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\blue.Shortcut\shell\open]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\blue.Shortcut\shell\open\command]
@="notepad"
... ora che c'è di strano in questo? perchè il rootkit mi dice
Status: Registy value-data mismatch ?
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.