fcukdat, almeno, che non è proprio l'ultimo pivello in circolazione, semprerebbe arrivato a questa conclusione...

"The author claims his tool will detect all known malware rootkits and publically available POC's and i find myself agreeing with him based on my experiences with it."

Tra i motivi, il fatto che "supera" certe limitazioni di altri tool ARK (Gmer, RKU..) che imiegano tecniche di lettura del disco di tipo RAW (raw disk read), tecniche che da quanto leggo fanno ad es. a cazzotti con il driver del rootkit della famiglia "DNS" (vedi inch.sys mostrato poco sotto)...

Ve lo segnalo (cosa già fatta peraltro in un altro thread ma passata ovviamente in sordina...) dato che sposa un'ALTA % di rilevazione di questo genere di malware ad un'interfaccia estremamente pulita e di semplice lettura (=interpretazione..)


http://img147.imageshack.us/img147/1600/snap1nn0.jpg

Caratteristiche:
- Driver Scan - scans the system for kernel-mode drivers. Displays all drivers currently loaded, and shows if a driver has been hidden, and whether the driver's file is visible on-disk.
- Files Scan - scans any fixed drive on the system for hidden, locked or falsified* files.
- Processes Scan - scans the system for processes. Displays all processes currently running, and shows if a processes is hidden or locked.

* - falsified files are files which have their size mis-reported to the Windows API. Some rootkits use this to hide data.

System Requirements
* Microsoft® Windows Vista®; Windows XP Professional or Home Edition; Windows 2000 with Service Pack 4; Windows 2003 Server
Note: Only x86 versions of Windows are supported.

Mini-Recensione: http://www.pianetapc.it/view.php?id=1099

Home Page: http://rootrepeal.googlepages.com/

Discussione su sysinternals: http://forum.sysinternals.com/forum_posts.asp?TID=12914

fcukdat in azione con RootRepeal:
inch.sys, della famiglia DNS Trojan + Rustock.C:
Link 1 (http://www.wilderssecurity.com/showpost.php?p=1287689&postcount=12")

PoC (Unreal, Phide_ex):
Link 2 (http://www.wilderssecurity.com/showpost.php?p=1287691&postcount=13)

volsnap.sys
http://img528.imageshack.us/img528/2230/snap2ep4.jpg



L'arsenale di software ARK, quindi, si arricchisce con questo tool gratuito.
Tra i primi 4 con RR, cmq, e chiusi + o - strettamente alle sue % di rilevazione, c'è sicuramente Gmer, PrevX CSI (forse un pelettino più attardato come rilevazione anche se decisamente intuitivo e davvero alla portata di tutti oltre che avere caratteristiche di cleaning al contrario degli altri...) & RKU ormai discontinuato...



Spero che altri, poi, dicano qualcosa anche su questo progetto molto particolare di EP_X0FF, CsrWalker (http://forum.sysinternals.com/forum_posts.asp?TID=15457&PID=74973#74973)...


Per ora, cmq, è tutto...





**EDIT**
Chiedo venia ma ho stioccato un'errore nel nome del programmino e non posso + editare il titolo..:muro:
Sono un somaro..!

interessante... grazie per la segnalazione :)

domani lo provo,perora ho corretto il titolo :D

RootRepeal: probabilmente il miglior ANTIROOTKIT in circolazione al 27/7/08...


Al momento... :cool:

mai sentito prima :D

mai sentito prima :D

nemmeno io anzi nelle ultime ricerche su alternative a gmer non ne ho trovato cenno alcuno......:rolleyes: :confused: :muro:

Al momento... :cool:

bentornato mito.......:ave: :ave: :ave:

Io l'ho provato quando l'avevi messo all'attenzione altrove.
E' veramente molto veloce in fase di scan.

Io l'ho provato quando l'avevi messo all'attenzione altrove.
E' veramente molto veloce in fase di scan.

Quoto e confermo^^
estremamente rapido

Al momento... :cool:

:sofico:

ottima segnalazione nV25, grazie ;)

Bella segnalazione, lo provo subito !

Al momento... :cool:
dopo il saluto di rito [RITO..:D] e gli omaggi del caso [CASO :stordita:] :D, 2 rapide considerazioni:
1° - è una grande notizia il sapere che la ricerca (perchè di questo si tratta quando si parla di strumenti cosi' sofisticati come i rootkit [oltretutto se attivi..]) sia cosi' "vivace" dopo un periodo di relativa stagnazione...
1° a)...specie se poi una persona che in tanti ammiriamo (perchè equilibrata, matura, competente...) mette in prima persona del suo per il perseguimento di quest'obiettivo...

2° - non neghi di fatto quanto io riporto e cioè RR attuale "medaglia d'oro" nella rilevazione, per quanto la distanza tra i vari tool citati descriva una forbice particolarmente ristretta...


:)

Ho fatto una passata e ho questo file sospetto:

Path: C:\Documents and Settings\*\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*\SharingMetadata\*\DFSR\Staging\CS{888E1C82-87EF-6DC0-364B-71131D45506A}\01\10-{888E1C82-87EF-6DC0-364B-71131D45506A}-v1-{0C21993D-429C-419B-8595-E81CC9BC7F7A}-v10-Downloaded.frx
Status: Locked to the Windows API!

Qualcuno sa dirmi cos'è ? X caso il contatto di msn in questione è infetto e spara germi ?

Ho tolto con * i dati "personali"

ma LOL :sofico:

non ho fatto in tempo a postare questa cosa, che vedo "risorgere" Rootkit Unhooker...:D

RkU LE 3.8.340.550.rar (http://rapidshare.com/files/133000654/RkU3.8.340.550.rar.html)

Rootkit Unhooker LE v3.8.340.550

LE means Lite Edition.
This is not VX (Veritable eXtended) variant and it doesn't includes anything from VX.
There is no homepage of this software and no official support. Do you experience "problems" with this software? BSOD's? You can send minidumps to naxyi or better post them somewhere where we can get access and take a look when we want to do this.

MD5 of the file in rar archive
876ec954bd84a4bcb23b06d41f92fb3d *RkU3.8.340.550.exe
Installer as well as executable (or something from them, don't remember) packed with PECompact, so be sure, some of so called AV's will flag it as malware.

Changelog (all changes made in 3.5 hours 28.07.2008) [:read: SBORONE...]:

added: all program components Windows Vista SP1 support

added: partial Windows 2008 support

added: Rustock.C hooks detection (file is for AV/VX)
IMPORTANT: do not unhook rustock hooks inside ntoskrnl.exe without killing rustock rootkit threads inside winlogon.exe. LE doesn't provides better support in handling with this rootkit so its on your way.

added: bootkit (Sinowal/MaosBoot) hot start detection and removal (use with caution!! Possible damage of the MBR)

added: bypassing of several trojans with anti antirootkit parts (DNS trojans, siberia etcetera)

improved a little processes detection for Windows 2000/XP (no your super-puper bsoddy PoC's will not be detected because nobody don't care about them)

updated: all build up with latest UG North libs and rtls (all fixes from year applied)

fixed: one stupid BSOD under Vista

fixed: several bsoddy parts of the LE version engine

fixed: loader bugs under different versions of NT

fixed: Windows 2003 BSOD's

important: "-hookswap" console mode keyword is no longer valid

important: this version does not include any of VX features so it is still LE :)

important: check about box for some stuff LOL

WARNING. YOU USE THIS TOOL AT YOUR OWN RISK.
WARNING. POSSIBLE RISK OF DISK DATA DAMAGE.
WARNING. VISTA SP1 / 2008 SUPPORT RESTRICTED. COULD BE SOME PROBLEMS WHILE USING THIS RKDETECTOR.

Users of the VX may not use this version because it provides much more less information and features. However together work in the same time is guaranteed.

Feedback is not interested. :read: :D

VX/LE (c) 2006-2009 UG North

ma LOL :sofico:

non ho fatto in tempo a postare questa cosa, che vedo "risorgere" Rootkit Unhooker...:D



domanda da ignorante informatico (non nel senso di nick :Prrr: ...te l'ho rubata amico ) ma a sto punto tutti non li possiamo usare e dato per assunto che gmer è intoccabile quali teniamo nel nostro arsenale tra tutti gli altri...

ps: ho usato il programma in questione ma non è un pò troppo velocino? uno scan in 10 secondi ....:confused: :mbe: :mc:

edit doppio post.... ehm...sorry

e che kaiser....non ho capito ma mi è rivenuto per la terza volta....

ma LOL :sofico:

non ho fatto in tempo a postare questa cosa, che vedo "risorgere" Rootkit Unhooker...:D


era ora, è il mio antirootkit preferito

domanda da ignorante informatico (non nel senso di nick :Prrr: ...te l'ho rubata amico )..
Bravo! :mad:

Prima mi proponi uno scambio di nick (http://www.hwupgrade.it/forum/showpost.php?p=23262244&postcount=24), poi mi rubi l'identità (nel senso che il tuo post ricorda il tenore dei miei interventi :Prrr:)...

Scherzi a parte, personalmente, opterei per l'uso di tutti e tre (o GMER e RootRepeal, date le delucidazioni di nV 25 fatte nel post #1 (http://www.hwupgrade.it/forum/showpost.php?p=23492881&postcount=1)).

era ora, è il mio antirootkit preferito

unico neo, a quanto mi risulta, che è stato acquistato da Microsoft che ora detiene le redini del progetto. :stordita: :fagiano:

scusate doppio post

.

*

:wtf:


http://www.google.com/search?client=opera&rls=it&q=Rootkit+Unhooker+microsoft&sourceid=opera&ie=utf-8&oe=utf-8 :read: :read: :read:

ho buona memoria :D

La difesa proattiva di KAV 7 mi avverte che rootrepeal sta tentando di avere l'acceso completo al l sistema installando un driver, cosa faccio, mi mìfido e consento l'azione?? Grazie.

non fidarti,chissà cos'è questo rootrepeal :wtf:

senza presunzione, ma ci vuole del coraggio a non fidarsi di me dopo 4 anni di mia presenza sul forum...


Spero tu stia scherzando o che l'equivoco nasca semplicemente da un colpo di calore (per carità, cosa frequente con questi caldi..)



Non sono un Dio, ci mancherebbe, nè il Verbo, ma da qui a pensare solamente che nV 25 possa remare nella direzione del lato oscuro della forza...


Muààà...

link (http://it.wikipedia.org/wiki/Ironia)
questo l'hai mai provato?:D

senza presunzione, ma ci vuole del coraggio a non fidarsi di me dopo 4 anni di mia presenza sul forum...


Spero tu stia scherzando o che l'equivoco nasca semplicemente da un colpo di calore (per carità, cosa frequente con questi caldi..)



Non sono un Dio, ci mancherebbe, nè il Verbo, ma da qui a pensare solamente che nV 25 possa remare nella direzione del lato oscuro della forza...


Muààà...

e da quando sei passato dalla parte del bene? Era praticamente l'altro ieri che ti ho letto nei forum filo-cinesi a diffondere nuovi rootkit e a dispensare consigli su come bypassare tutti i software HIPS.



scherzo :D

scherzo :D
metterlo da subito no?!m'hai fatto prendere un colpo!:D

è cosa risaputa, infatti, che il mio manchuriano sia masticato con una certa disinvoltura per cui effettivamente ci poteva anche stare l'immagine dell'nV 25 dedito all'hacking su canali cinesi....

Se può consolare, cmq, ultimamente ho perso un pò di smalto e l'ideogramma mi incute un certo timore...:stordita:

Ma mi prometto di recuperare quanto prima...


CIN CIUN CIN...:Prrr:



**SERIO**
la discussione è risalita, il che NON E' cosa malvagia...
Ben vengano allora incomprensioni/ironie se il loro fine è quello di dar visibilità a cose valide...

CIN CIUN CIN...:Prrr:


Cin Chan Pai :Prrr:

La difesa proattiva di KAV 7 mi avverte che rootrepeal sta tentando di avere l'acceso completo al l sistema installando un driver, cosa faccio, mi mìfido e consento l'azione?? Grazie.

è normale, puoi acconsentire senza problemi.

E' sempre la solita storia: RootRepeal sara' un ottimo scanner ma chi interpreta i risultati?

E' sempre la solita storia: RootRepeal sara' un ottimo scanner ma chi interpreta i risultati?

La risposta è sempre quella: Chi sta tra monitor e tastiera, poi nel caso serva una mano uno chiede ed impara ;)

Approposito.... :D

Ho fatto una passata e ho questo file sospetto:

Path: C:\Documents and Settings\*\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*\SharingMetadata\*\DFSR\Staging\CS{888E1C82-87EF-6DC0-364B-71131D45506A}\01\10-{888E1C82-87EF-6DC0-364B-71131D45506A}-v1-{0C21993D-429C-419B-8595-E81CC9BC7F7A}-v10-Downloaded.frx
Status: Locked to the Windows API!

Qualcuno sa dirmi cos'è ? X caso il contatto di msn in questione è infetto e spara germi ?

Ho tolto con * i dati "personali"

unico neo, a quanto mi risulta, che è stato acquistato da Microsoft che ora detiene le redini del progetto. :stordita: :fagiano:

dimmi che stai scherzando... :cry:

dimmi che stai scherzando... :cry:

purtroppo no, come puoi leggere da google:

http://www.google.com/search?client=opera&rls=it&q=Rootkit+Unhooker+microsoft&sourceid=opera&ie=utf-8&oe=utf-8

purtroppo no, come puoi leggere da google:

http://www.google.com/search?client=opera&rls=it&q=Rootkit+Unhooker+microsoft&sourceid=opera&ie=utf-8&oe=utf-8

spero vadano cortesemente a farsi fottere

senza presunzione, ma ci vuole del coraggio a non fidarsi di me dopo 4 anni di mia presenza sul forum...


Spero tu stia scherzando o che l'equivoco nasca semplicemente da un colpo di calore (per carità, cosa frequente con questi caldi..)



Non sono un Dio, ci mancherebbe, nè il Verbo, ma da qui a pensare solamente che nV 25 possa remare nella direzione del lato oscuro della forza...


Muààà...

Non era mia intenzione dubitare della tua buona fede e della tua esperienza, solo che quel messaggio di KAV non l'avevo mai visto e volevo solo una conferma, scusa ancora.

Ho dato una rapida occhiata a questo rootkit detector e devo dire che mi ha impressionato in modo positivo. Unico neo la scansione dei file, che tende a bloccarsi a random. :stordita: Sicuramente si tratta di un problema che sarà risolto nelle prossime versioni...almeno spero. :sofico:
Mi ha anche fatto piacere vedere una nuova build di RKU. :cool:
Sono due utility potenzialmente ottime per scovare malware nascosti nel sistema o altre anomalie. Tutto sta, però, nella corretta interpretazione dei dati che vengono visualizzati. :)

Regards

RKU updated to 3.8.342.554

DiabloNova writes:

version 342/554
+ ability to skip user mode scanning
+ whole IDT listing option
+ IDT checking slightly improved
* fixed relocations processing bug (3rd party application EXECryptor protection caused bugs)

Maybe this is final 2008 version :) However could be buggy because of not-enough testings (too busy with our new network based project).

D/L
http://www.rootkit.com/vault/DiabloNova/RkU3.8.342.554.rar

These checksums applies for setup file in the RAR archive.

MD5 is dead, so take a look on these pretty cool SHA signs.

SHA-1
67b542a22562e2e194d0b7003ed40cee5fe5eb51

SHA-512
144cc964fb5194a3d7db7ded13e0f1a57e76298f9395981de76384ac4d62b6ca
16bde345fae4ba9e5fa0ab901ef9ae7926ef7a21106a692c35d536f5b3459ea3

RKU updated to 3.8.342.554
:mano:

Scusate ma da ignorante quale sono in materia, ho spesso usato ComboFix per eliminare i rootkit e devo dire che funziona sempre egregiamente, ripristinando anche i vari danni che i rootkit fanno... ma ne sento parlare sempre molto poco...

Io quando devo mettere a posto un pc quasi sempre elimino tutto l'eliminabile con gli antivirus (di solito Antivir) e poi passo ComboFix e mi rimette tutto a posto.

E poi mi chiedo...ormai che questi Rootkit sono una cosa diffusissima...ma perchè le aziende di antivirus non li integrano decentemente nei loro prodotti? Ma è possibile che uno che paga un antivirus debba poi usare utility free tipo ComboFix per rimettere a posto i danni provocati?

spero vadano cortesemente a farsi fottere

Non credo proprio....
Che vadano a farsi grandemente fottere nelle merda di quel coyote di Bill Gates di M-E\R.D<A

frase contorta e un pò ridondante, specie per il rafforzativo finale....anche se il concetto in definitiva è abbastanza chiaro...

Dello stesso tenore anche gli 11 post precedenti? :D

[...]
E poi mi chiedo...ormai che questi Rootkit sono una cosa diffusissima...ma perchè le aziende di antivirus non li integrano decentemente nei loro prodotti...

Sul discorso di arrancare nell'individuazione di rootkit *attivi* rispetto a soluzioni dedicate freeware, bè, c'è del vero...


Per tornare in topic, cmq, anche RR è stato aggiornato una 15-cina di gg fà alla v.1.1.2 ed ora vanta anche lo scan SSDT...

http://img517.imageshack.us/img517/2738/snap1gb4.jpg (http://imageshack.us)

ottima segnalazione enne ;)

http://img217.imageshack.us/img217/4306/rustockcca1.jpg

È qui la festa? :D

http://img217.imageshack.us/img217/4306/rustockcca1.jpg

È qui la festa? :D

Sembrerebbe di si :D

In effetti non riesco ancora a capacitarmi del motivo che vi abbia indotto a far passare la cosa cosi' in sordina....

Alla luce delle novità introdotte e dell'impatto internazionale dei vostri software, infatti, mi aspettavo qualcosa di più che veder relegata la notizia esclusivamente all'interno di una discussione peraltro molto generica (dal titolo "è valido PrevX", Link (http://www.wilderssecurity.com/showpost.php?p=1325946&postcount=142))...

Per fortuna hai provveduto te a dare almeno in parte giusto tributo al frutto del vostro lavoro....:)

PS:
Chill-Out era arrivato ad associare a quello screen il Rustock.C all'opera, il sottoscritto invece [ :stordita: ] si è dovuto "sorbire tutta la solfa" prima di arrivare alla fine del tunnel: Link (http://www.wilderssecurity.com/showpost.php?p=1326156&postcount=155) :incazzed:


:D

Magari far capire anche ad altri quello di cui state parlando, no eh? :stordita:

Comunque, dato che non mi pare ci sia un thread ufficiale (qualcuno lo fa?), mi potreste dire in breve una lista (corta possibilmente!) dei migliori antirootkit sia per rilevamento, sia per riparazione? (ripeto che fino ad ora ho usato unicamente combofix, sempre con ottimi risultati, almeno credo).

si stà parlando esclusivamente di strumenti finalizzati a rilevare la presenza di una particolare classe di virus, i rootkit appunto, che tra le loro peculiarità annoverano il riuscire a mascherarsi all'interno del sistema operativo (il più delle volte sovvertendolo, peraltro...) cosi' da compiere successivamente (e in modo non trasparente...) una serie di altre operazioni malsane....

Disponibile la versione 1.12 di RootRepeal :)

Magari far capire anche ad altri quello di cui state parlando, no eh? :stordita:

Comunque, dato che non mi pare ci sia un thread ufficiale (qualcuno lo fa?), mi potreste dire in breve una lista (corta possibilmente!) dei migliori antirootkit sia per rilevamento, sia per riparazione? (ripeto che fino ad ora ho usato unicamente combofix, sempre con ottimi risultati, almeno credo).

Per cominciare ti posso consogliare Prevx CSI http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe lo troverai decisamente familiare ed intuitivo.

..ti posso consogliare Prevx CSI http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe..
Il link al programma presente in questa pagina (http://info.prevx.com/downloadcsi.asp) porta alla stessa versione indicata da te (URL e nome del file differiscono)?


(perdona l'eventuale corbelleria mia :D)

Il link al programma presente in questa pagina (http://info.prevx.com/downloadcsi.asp) porta alla stessa versione indicata da te (URL e nome del file differiscono)?


(perdona l'eventuale corbelleria mia :D)

ITA :D

http://www.pcalsicuro.com/main/2008/10/prevx-csi-v3-di-nuovo-in-pista/

ITA :D..
Colpa mia che mi rifugio sempre e solo nell'inglese :doh:

;)

Nella scheda opzioni...disk access level come bisogna impostarlo?

inoltre che altre impostazioni è conveniente settare?

ciao e grazie in anticipo

Nella scheda opzioni...disk access level come bisogna impostarlo?

inoltre che altre impostazioni è conveniente settare?

ciao e grazie in anticipo

Lascia tuttto a default

Lascia tuttto a default

ok..grazie;)

Ciao,dopo aver fatto una scansione con rootrepeal mi da nelle schede SSDT e shadow SSDT alcune voci rosse:confused:

Ciao,dopo aver fatto una scansione con rootrepeal mi da nelle schede SSDT e shadow SSDT alcune voci rosse:confused:

:confused:

Allego i log delle scansioni di Shadow SSDT,SSDT
report rootrepeal.txt (http://wikisend.com/download/463954/report rootrepeal.txt)
logrootrepeal2.txt (http://wikisend.com/download/947924/logrootrepeal2.txt)
RootRepeal report 11-30-09 (18-04-56).txt (http://wikisend.com/download/900966/RootRepeal report 11-30-09 (18-04-56).txt)

Allego i log delle scansioni di Shadow SSDT,SSDT
report rootrepeal.txt (http://wikisend.com/download/463954/report rootrepeal.txt)
logrootrepeal2.txt (http://wikisend.com/download/947924/logrootrepeal2.txt)
RootRepeal report 11-30-09 (18-04-56).txt (http://wikisend.com/download/900966/RootRepeal report 11-30-09 (18-04-56).txt)

io ho abbandonato rootrepeal perchè dall'ultimo aggiornamento di CIS se scansiono con RR mi arriva schermata blu.
Non o visto nulla di strano, se ti segna in rosso cose come i driver di comodo o prevx o avira è del tutto naturale, agiscono nascosti per potersi sottrarre alle infezioni