Thread Ufficiale degli Anti-Rootkit

http://img31.imageshack.us/img31/8669/rootkit01.jpg

Questa opera è distribuita con licenza Creative Commons http://i.creativecommons.org/l/by-nc-sa/2.5/it/88x31.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/) salvo diversa indicazione. Chiunque volesse citare il contenuto di questa guida deve necessariamente riportare il link originario.


In questa discussione intendo fornire informazioni circa i migliori programmi Anti-Rootkit.
Qui si parla dei soli programmi dedicati quasi esclusivamente alla individuazione e rimozione dei temibili Rootkit, programmi che spesso sono poco conosciuti dalle masse e anche poco pubblicizzati sul web, mi concentrerò come sempre da mia filosofia su quelli free, ricordo altresì che molto spesso i migliori antivirus hanno già incluso un anti-rootkit ma tendo comunque a consigliare una soluzione dedicata a queste minacce.

Nel post 2 esamino i programmi che più mi piacciono ovvero quelli del "sottobosco" internet, spesso sviluppati da singoli programmatori ma che, a dispetto di ciò sono spesso molto meglio degli anti-rootkit sviluppati dalle software house più blasonate.
Nel post 3 invece esamino brevemente i prodotti creati dalle case antivirus sperando di non fare torto a nessuno se alcune non vengono citate, gli AntiVirus che hanno anche una scansione ARK non sono comunque oggetto di questa discussione, qui esaminiamo solo i singoli anti-rootkit installabili separatamente dal relativo antivirus.
Ricordo che se avete già un antivirus con funzionalità anti-rootkit non è il caso di installare l'ARK della stessa casa, sarebbe un doppione e anche controproducente.

Ogni segnalazione di prodotto da parte vostra è sempre ben gradita.

Sulla falsariga di quanto ho già fatto per i programmi antimalware passerò in rassegna i singoli prodotti dandone una basica e sintetica impressione personale, avvalendomi anche delle vostre valutazioni, tenete presente che la lista non è esaustiva e neppure infallibile, anzi…. ma molto prodotti sono ai più sconosciuti e con scarse informazioni anche sul web, qui insomma potreste trovare tra le poche indicazioni circa questi utili software.

Lo scopo principale è quello di sensibilizzare gli utenti, soprattutto i meno esperti, della necessità di dotarsi di almeno uno di questi strumenti di difesa da affiancare all’antivirus e agli antimalware già presenti sul pc, il tutto per garantire una buona difesa multistrato e rendere la vita dei malware un po’ più difficile. Inoltre molto spesso questi tool anti-rootkit sono stand-alone o richiedono ben poche risorse quindi perché non farne uso?

Non segnalate qui log dubbiosi, per queste cose c’è una sezione apposita che è Aiuto sono Infetto (http://www.hwupgrade.it/forum/forumdisplay.php?s=&daysprune=-1&f=125) nella quale postare e chiedere aiuto.

Cosa è un Rootkit?
Si tratta basicamente di un programma creato per avere i diritti amministrativi senza l’intervento dell’utente. Non si tratta in realtà sempre di prodotti maligni ma anzi, molti programmi con funzionalità rootkit sono necessari al funzionamento del pc, si pensi ai driver delle periferiche che si attivano all’avvio del pc e permettono di riconoscere i vari componenti del nostro computer in pochi attimi e senza che l’utente faccia nulla, per poi restare attivi facendo sparire ogni sua traccia di attività. Questa caratteristica di elevati privilegi è stata però sfruttata dai creatori di malware per rendere le loro minacce invisibili agli occhi degli utenti e dei loro software di difesa ed è in questa forma pericolosa che intendiamo qui i rootkit che basicamente celano dll e driver che girano in backdoor sul pc degli utenti inconsapevoli.
Qui (http://www.pcalsicuro.com/main/2010/01/tdl3-rootkit-spettatori-di-un-gioco-a-senso-unico/#more-276) un articolo di eraser (che mi permetto di citare) su uno degli ultimi pericoli della famiglia rootkit, così vi fate una idea della minaccia e delle sue continue evoluzioni.

Tenete comunque presente che i vari anti-rootkit, per le ragioni di cui sopra, potrebbero rilevare anche driver di periferiche o driver a livello kernel dei vostri antivirus quali rootkit da rimuovere, sono tendenti ai falsi positivi, quindi non fidatevi mai del loro report ma cercate in internet o chiedete a chi più esperto prima di eliminare qualche chiave di registro o eseguibile e poi pentirvene amaramente.

Qui alcuni link che mi sembrano di interesse in materia :


AntiMalware Test Lab (http://www.anti-malware-test.com/?q=node/181)


NTInternals (http://www.ntinternals.org/anti_rootkits.php) : qui l’elenco di alcuni dei software ARK, cliccando vcino al nome del prodotto lo potete anche scaricare.
Sul sito sono presenti anche alcuni test (tra i pochi disponibili in rete) ovvero:

[B]Test Processi invisibili (http://www.ntinternals.org/process_detection_test.php)
Test DLL invisibili (http://www.ntinternals.org/dll_detection_test.php)
Test Driver invisibili (http://www.ntinternals.org/driver_detection_test.php)



Sysinternals (http://forum.sysinternals.com/forum_posts.asp?TID=20007&PN=1[)


WildersSecurity (http://www.wilderssecurity.com/showthread.php?t=251266)


KernelMode (http://www.kernelmode.info/forum/viewforum.php?f=11)


HideProc (http://www.iterati.org/Developers/HideProc/Default.aspx): si tratta di un piccolo programma di test che crea un processo non visibile al taskmanager di windows o a process explorer della Sysinternals, provare per credere e vedete come si comporta il vostro antirootkit.

Eccoci all’elenco dei prodotti del c.d. "sottobosco", quelli magari meno conosciuti ma che spesso surclassano i corrispettivi creati dalle case di antivirus più famose. Non sono in ordine di efficacia (tra le altre cose non sono molte le classifiche presenti in rete e neppure molto autorevoli) ma solo in ordine di pseudo popolarità, spetterà poi a voi provarli e decidere quale fa al vostro caso. Prestate anche un occhio ai sistemi operativi supportati poiché quelli compatibili con Seven sono purtroppo ben pochi e alcuni hanno anche problemi con l’ormai collaudato Vista.


GMER (http://www.gmer.net/) (XP/Vista/Seven 32-64bit): direi che è l’anti-rootkit più famoso e più usato. Qui (http://www.pcalsicuro.com/main/2007/02/guida-a-gmer-2/), tra le tante, una guida di base del programma fatta da eraser che ancora una volta mi permetto di citare. Anche qui la vostra attenzione dovrà concentrasi sulle eventuali voci in rosso ma come sempre occhio ai falsi positivi e pensateci prima di agire.
Gode di un buon supporto alla lettura dei suoi log su vari siti di esperti compreso qui (http://www.hwupgrade.it/forum/showthread.php?t=1372589) su HWUpgrade con l’avvertenza che il log va prima hostato su un sito (vanno bene wikisend o mediafire) e postato il solo link altrimenti diventa ingestibile la normale consultazione. Ideale per chi vuole una soluzione abbastanza performante e con una vasta serie di siti dove avere aiuto nell’interpretazione dei risultati. È anche molto completo visto che la sua ricerca si svolge tra processi, file, servizi, moduli, ADS e chiavi di registro nascoste, driver hooking SSDT (System Service Descriptor Table), IDT (Interrupt Descriptor Table) e chiamate IRP (IO Request Packet). Direi una buona soluzione stand-alone e comunque un punto di riferimento nel settore.


RootRepeal (http://rootrepeal.googlepages.com/) (XP/Vista 32bit): qui (http://www.hwupgrade.it/forum/showthread.php?t=1790823) ne parla ENNE, potente programma portable che analizza driver, file, processi, SSDT (System Service Descriptor Table), oggetti e servizi nascosti. Tenete presente che tra i driver analizzati vi sono sicuramente anche quelli del vostro FW o AV, quindi andate cauti prima di cancellare qualcosa. Non ha nulla da invidiare a GMER anzi in alcuni casi gli è superiore, la scansione è molto veloce, la sua vera pecca oltre a non supportare i 64bit è solo quella di non avere altrettanto supporto come invece è possibile trovarne per l’interpretazione dei log di GMER. Interessante scelta per chi è abbastanza pratico del pc.


Kernel Detective (http://www.at4re.com/download.php?view.1) (XP/Vista/Seven 32bit): prodotto stand-alone seven compatibile e devo dire molto ben fatto. Presenta in rosso quelli che sono i possibili problemi, ma spesso si tratta dei driver dei vostri prodotti di sicurezza che agiscono nascosti per autoproteggersi da terminazione da parte dei virus, quindi attenzione. Controlla i processi, le dll, i driver, SSDT, il kernel, le modificazioni più recenti fatte al kernel stesso, controlla anche il debug del sistema, permette di salvare il suo log. Qui (http://www.woodmann.com/collaborative/tools/index.php/Kernel_Detective) ne trovate le caratteristiche principali e una immagine della GUI. Insomma un bel prodotto la cui unica pecca è quella di non prevedere una vera e propria scansione dei file come invece possono fare GMER e RootRepeal tra gli altri. Per chi usa Seven è una buona scelta, molto valido anche per chi ha altri sistemi operativi. Da provare ma non per i neofiti.


SpyDLLRemover (http://rootkitanalytics.com/userland/spy-dll-remover.php) (XP/Vista/Seven 32bit): altro tool portable che funziona egregiamente su Seven. Non è un vero anti-rootkit ma comunque fa quello che Vba32 non fa ovvero controlla le DLL del sistema e se un processo malware ne attiva lo vedete chiaramente dopo una scansione. Consiglio di settare lo scan attivando l'opzione "Show dangerous, suspicoius & analysis level threats" che è quella più completa. Mostrerà nella sua tabella solo i processi o dll dubbi o pericolosi ben indicati tramite colori. All’occorrenza possiamo “killare” un processo, rimuoverlo o visualizzare ulteriori informazioni tramite una comoda ricerca online. Offre anche un analizzatore di processi e permette la ricerca di Dll inserendone il nome. Non è completo ma quello che fa, l'analisi delle DLL lo fa bene ed espone i risultati in modo chiaro.


XueTr (http://translate.google.com/translate?hl=fr&sl=zh-CN&tl=en&u=http://www.xuetr.com/) (XP/Vista/Seven 32bit): eccoci ad esaminare un prodotto nuovo, quasi sconosciuto, sviluppato da un bravo programmatore cinese, vediamo se riusciamo a renderlo popolare. Anche questo è portable e compatibile con Seven. Su internet le informazioni sono frammentarie: oltre al sito dello sviluppatore che ho linkato previa traduzione di google, un'altra delle poche pagine che ne parlano facendone anche un test si trova qui (http://translate.google.com/translate?hl=en&sl=zh-CN&u=http://club.eset.com.cn/viewthread.php%3Ftid%3D83151&prev=/search%3Fq%3DXueTr%26hl%3Den%26client%3Dfirefox-a%26rls%3Dorg.mozilla:en-GB:official%26sa%3DN%26start%3D20&rurl=translate.google.co.uk), oltre ad accenni pure sui siti di riferimento che ho indicato al primo post. Qui finiscono o quasi le informazioni disponibili, lasciando agli utenti l'onere e il piacere di scoprirne le qualità che non sono poche. XueTr è un programma estremamente completo e ricco di informazioni oltre che molto valido almeno a giudicare dai test messi in rilievo al post n.1. Presenta le seguenti caratteristiche: analisi dei processi con evidenza in basso di quelli nascosti se presenti; analisi del kernel con evidenza dei driver nascosti e sospetti; analisi completa degli hook (i ganci ovvero dove il malware va a colpire per poter svolgere le sue attività) da quelli SSDT a quelli dell'utente o del kernel; controllo delle routine; analisi del traffico di rete sia a livello porte, tcp, plugin di IE, file host; analisi del registro; analisi dei file tramite un comodo explorer; analisi dei processi allo startup; controllo dei servizi; DCP Timer; controllo delle associazioni file ... inoltre per ognuna di queste funzioni usando il tasto destro del mouse sulla tabellina si apre il menù contestuale con una serie infinita di azioni tra cui ovviamente la possibilità di terminare il processo, cercare info in internet, vedere quali altri processi coinvolge ecc... Ho lasciato per ultima la scheda Setting dove è possibile interdire la creazione di processi, chiavi, file, moduli, immagini, caratteristica davvero unica nel panorama e che va attentamente studiata per capire se realmente funzionante. Che dire, un programma che mi è piaciuto molto, ben fatto, in continuo miglioramento e molto completo, non adatto comunque ai neofiti. Su nostra segnalazione il programmatore ha anche messo la funzione di esportazione del file di Log, che prima mancava, va fatto pagina per pagina ma è meglio di nulla, basta tasto destro e scegliere "Export". Le funzionalità presenti in Setting sono una chicca da provare.


SysReveal (http://www.sysreveal.com/category/sysreveal/version/) (XP/Vista/Seven 32bit): altro anti-rootkit portable che assomiglia molto a TrueXr e infatti lo sviluppatore di XT partecipa a volte anche allo sviluppo e soluzione bug di questo altro programma cinese (con interfaccia in inglese fortunatamente). E' appena uscito dalla fase beta ed è soggetto a frequenti cambi versione. Come detto richiama XueTr per l'infinità di funzioni a disposizione ed anche a livello di test sembrano sostanzialmente comparabili. Da quello che ho visto grazie a google translator dovrebbe supportare Seven 32bit. Altro prodotto completo, in forte sviluppo e molto promettente.


SanityCheck (http://www.resplendence.com/sanity_features.htm) (XP/Vista/Seven 32-64bit): altro prodotto interessante visto che non solo supporta Seven ma anche ogni sistema a 64bit. Il podotto è di ottimo livello, analizzando processi, driver, kernel, hooks SSDT. Di negativo il fatto che non è completo mancando analisi dei file, del registro e delle DLL ed inoltre diversamente dai concorrenti che sono quasi tutti stand-alone questo va installato sul pc e può essere un problema se il computer è già compromesso. Ottima proposta comunque per chi ha un sistema a 64bit dove gli anti-rootkit di livello scarseggiano veramente. Ne esiste anche una versione a pagamento ma la free ha già il necessario.

Eccoci agli ARK creati dalle ditte di AntiVirus più famose. Spero di non offendere nessuno se qualche prodotto non sarà messo in lista. Tenete presente come già detto che se il vostro AV ha già una scansione anti-rootkit tra le sue caratteristiche non è il caso di scaricare e usare lo stesso modulo ARK dedicato sul pc, sarebbe un inutile doppione, meglio utilizzarne uno di altri produttori, la scelta non manca. Quelli indicati sono tutti free almeno per uso privato


Avira Antirootkit (http://www.free-av.com/en/tools/4/avira_antirootkit_tool.html) (XP/Vista/Seven 32bit): questo tool non è assolutamente da usare da parte degli utenti di Antivir che già ha un ARK al suo interno, usare entrambi porta a un errore irreversibile e nessuno dei 2 funzionerebbe. Il programma è di buon livello e le informazioni che fornisce sono abbastanza chiare, in rimozione comunque non sembra un drago, lascia qualche chiave residua di troppo.


F-Secure BlackLight (http://www.f-secure.com/en_EMEA/security/security-lab/tools-and-services/blacklight/) (XP/Vista/Seven 32bit): prodotto portable facile da usare, illustra i processi nascosti e tenta di eliminarli. facile sì ma con poche informazioni e non è il massimo in rimozione. Abbastanza leggero anche se la scansione dura più di quella di molti rivali.


Eset SysInspector (http://www.eset.com/download/sysinspector.php) (XP/Vista/Seven 32-64bit): notevole il fatto che supporti anche i sistemi a 64bit, previo download della versione apposita, e sia anche allo stesso tempo stand-alone. Questo stesso ARK è inserito in NOD32 come suo modulo. Fornisce quasi infinite informazioni sul sistema, sui driver, sui file, sulle DLL (sebbene analizzi solo i settori più critici), sul traffico di rete e mille altri dati, il tutto con una grafica molto carina e semplice. Fornisce anche una valutazione euristica delle minacce indicando tutti gli elementi in una scala da 1 a 9 e con diversi colori, si può anche usare questa valutazione per filtrare i risultati. Sembrerebbe il tool giusto ma... fermiamo i facili entusiasmi ha un grave difetto, si tratta di un tool diagnostico ma non di rimozione visto che non può eliminare ciò che trova, il suo log è inoltre molto dispersivo fornendo fin troppe informazioni. Comunque un utile strumento di diagnosi da prendere in considerazione soprattutto per chi ha sistemi a 64bit.


Panda Anti-Rootkit (http://download.cnet.com/Panda-Anti-Rootkit/3000-8022_4-10717196.html?part=dl-PandaAnti&subj=dl&tag=button) (XP 32bit): prodotto portable a suo tempo molto apprezzato dagli utenti e tra gli ARK più usati. Scansiona velocemente drive, processi e chiavi di registro, file e ads. Buono nell'individuazione delle minacce ma meno nella rimozione. Purtroppo da che ne so non supporta Vista o Seven, mentre l'ARK integrato nell'antivirus sì e questo mi fa pensare che il prodotto nella sua versione separata dal'AV non sia più sviluppato da tempo.


Sophos Anti-Rootkit (http://www.sophos.it/products/free-tools/sophos-anti-rootkit.html) (XP/Vista/Seven 32-64bit): tra i pochi ad essere compatibile coi sistemi a 64bit. Richiede l'installazione e scansiona processi attivi, chiavi di registro e dischi (quindi file) con una discreta velocità. i risultati sono chiaramente evidenziati e il suo uso è semplicissimo. Nei vari test però non sembra brillare per capacità di riconoscimento e rimozione. Resta comunque una delle pochissime scelte per chi ha un sistema a 64bit.


Trend Micro Rootkit Buster (http://www.trendmicro.com/download/rbuster.asp) (XP/Vista/Seven 32bit): software stand-alone che controlla processi attivi, driver, registro,file e anche il Master Boot Record. L'interfaccia è semplice e il funzionamento intuitivo. Nei test non ha impressionato per la capacità di trovare e rimuovere le minacce ma ha comunque il pregio ricercare anche gli MBR Rootkit.


Vba32 AntiRootkit (http://www.anti-virus.by/en/vba32arkit.shtml) (XP/Vista/Seven 32bit): sebbene siano produttori di antivirus, sono sicuramente più conosciuti per il loro anti-rootkit che ha il pregio non da poco di essere uno dei pochi compatibile con Seven a 32bit (per il 64bit non penso lo sarà mai). Il tool è stand-alone e molto facile, si tratta di fare un click sul suo pulsante start e fa tutto da solo. Scansiona i processi in autorun, driver, servizi e kernel però manca di controllo su chiavi di registro e dll, pecche non di poco conto. I risultati sono comunque molto chiari e immediati. Direi che è indirizzato ai neofiti e per chi usa Seven dove le alternative scarseggiano.


Avast Antirootkit (http://files.avast.com/files/beta/aswar.exe): basato su GMER a cui ha solo cambiato la grafica quindi sarebbe un buon prodotto ma...c'è un ma, ovvero non è più sviluppato separatamente quindi il tool stand-alone è vecchio, qui indico la risposta sul forum ufficiale "Don't use this 'very, very, old' beta version of the standalone anti-rootkit it was only used for a short time for beta testing, prior to incorporating it into avast 4.8. It had flaws, which were corrected in the regular avast antivirus program. I would advise not using it. If you have vast 4.8 or 5.0, that includes the anti-rootkit and I doubt these would be reported." A buon intenditor ..poche parole, ci siamo capiti. Da non usare, e questo destino di essere abbandonato in favore della versione inglobata nell'antivirus è comune a molti prodotti delle case AV. GMER su cui si basava è invece costantemente supportato e aggiornato.

grazie per il 3d :)

lo seguiro' con molto interesse ;)

Bravo Romagnolo1973.:)

Segnalo in merito a HijackThis che stò usando da tempo,cioè da quando è stata disponibile, la versione beta molto più completa della stabile,ed almeno nel mio pc non è causa di alcun problema.
Consiglio quindi gli utenti di provarla.;)

Bravo Romagnolo1973.:)

Segnalo in merito a HijackThis che stò usando da tempo,cioè da quando è stata disponibile, la versione beta molto più completa della stabile,ed almeno nel mio pc non è causa di alcun problema.
Consiglio quindi gli utenti di provarla.;)
Grazie,
io infatti uso la beta, è stato un po' difficile scaricarla (su alcuni download ho delle difficoltà e devo farlo su linux, misteri informatici) ma confermo che è stabilissima e con maggiori opzioni

bravo Romagnolo altro 3d interessante ;)

spero da questo 3d possa uscire una valida alternativa a gmer visto che in svariati casi, nella sezione infetti, il pc si blocca con una schermata blu

non capisco bene l'inserimento di hjt in questa categoria

bravo Romagnolo altro 3d interessante ;)

spero da questo 3d possa uscire una valida alternativa a gmer visto che in svariati casi, nella sezione infetti, il pc si blocca con una schermata blu

non capisco bene l'inserimento di hjt in questa categoria

Come ho scritto più volte a me succede lo stesso,quindi non posso usare questo tool.
Avete appurato se ci sono degli elementi comuni a tutti coloro che hanno questo problema ?
La butto là,che sò il FS in FAT32 (come quello che uso io) ?

Come ho scritto più volte a me succede lo stesso,quindi non posso usare questo tool.
Avete appurato se ci sono degli elementi comuni a tutti coloro che hanno questo problema ?
La butto là,che sò il FS in FAT32 (come quello che uso io) ?

essendo pc infetti a volte metto in conto anche quello
ma penso sia alcune volte per incompatibilità altre perchè gmer richiede non poche risorse e se si fanno più cose alla volta molte volte è la RAM che finisce
sul fatto del FS non ci ho mai fatto caso...

bravo Romagnolo altro 3d interessante ;)

spero da questo 3d possa uscire una valida alternativa a gmer visto che in svariati casi, nella sezione infetti, il pc si blocca con una schermata blu

non capisco bene l'inserimento di hjt in questa categoria

Grazie
io l'alternativa a GMEr ce la ho sebbene un po' da "sottobosco" ed è XueTr , se ci riesco tra oggi o domani lo inserisco, è anche Seven compatibile e molto completo, l'unico difetto è che per ora non consente di salvare Log (e per la vostra attività di aiutanti è una mancanza non da poco) e inoltre molte sue funzioni mi sono oscure essendo anche poco pubblicizzato anche in internet, insomma va un po' studiato ma è promettente

GMER pure a me è sostanzialmente quasi inservibile visto che mi da quasi sempre BSOD, mentre scansiona non posso avere aperto quasi nula men che meno Chrome o outlook..insomma un po' difficoltoso

HJT nella versione beta (non ricordo la normale se lo aveva) oltre al suo lavoro di controllo delle chiavi di registro (diciamo solo uno dei vari aspetti che un rootkit coinvolge oltre a exe, startup, servizi, DLL, traffico rete ecc...) ha anche un antispy che cerca gli HiddenDataStream, ha un process manager, cancella servizi windows NT, killa processi al reboot, modifica il file host, insomma fa molto di più di alcuni pseudo antirootkit ed è l'unco con GMER (ma abbiamo visto quanti BSOD) che può girare a 64bit, ecco perchè l'ho inserito sebbene non sia parte della famiglia in senso stretto.
Inoltre tutti lo dobbiamo avere su e ad esso va aggiunto almeno un altro prodotto della lista, questo è ovvio IMHO

EDIT: non lo ho detto ma io i BSOD li ho su NTFS e prima li avevo su FAT32 quindi non penso sia una discriminante. Pure RootRepeal mi dava qualche schermata blu di troppo, ma si sa ho un po' troppa roba sul pc quindi è facile che incontro incompatibilità

Grazie
io l'alternativa a GMEr ce la ho sebbene un po' da "sottobosco" ed è XueTr , se ci riesco tra oggi o domani lo inserisco, è anche Seven compatibile e molto completo,

Buon prodotto, assolutamente

Buon prodotto, assolutamente

Allora a volte pur in assenza di rootkit per testare i prodotti ci vedo bene :D
La sensazione è che abbia un buon avvenire, poi se tu lo hai provato e in futuro ne parlerai nel tuo blog o qui, noi siamo qua per imparare :D
Anche perchè in rete si trovano ben poche info e il programmatore non parla inglese ma solo cinese e questo non aiuta di sicuro

OT Ci vediamo il 28 al pranzo di sezione ehh

non male XueTr, stavo facendo qualche prova con HideProc e segna in rosso le voci dei processi nascosti, pari pari a Gmer

non male XueTr, stavo facendo qualche prova con HideProc e segna in rosso le voci dei processi nascosti, pari pari a Gmer

Curiosone :D
peccato per la mancanza del Log, magari la puoi richiedere a lui se aggiunge la feature (e magari c'è e non l'ho trovata) c'è la mail, basta andare in process e vedere XueTr e trovi la sua email, non parla inglese ma una richiesta la traduce con google dai
hai dato una occhiata a Setting e le possibilità di interdire processi, file, chiavi ...? Mi sembra una cosa molto interessante anche se ancora non ho provato se funziona senza problemi

HJT nella versione beta (non ricordo la normale se lo aveva) oltre al suo lavoro di controllo delle chiavi di registro (diciamo solo uno dei vari aspetti che un rootkit coinvolge oltre a exe, startup, servizi, DLL, traffico rete ecc...) ha anche un antispy che cerca gli HiddenDataStream


Era presente anche nella versione 2.0.2, ma sinceramente annoverare HJT tra gli ARK è improprio.

Era presente anche nella versione 2.0.2, ma sinceramente annoverare HJT tra gli ARK è improprio.

Ok vince la maggioranza e lo vado a togliere :D

Curiosone :D
peccato per la mancanza del Log, magari la puoi richiedere a lui se aggiunge la feature (e magari c'è e non l'ho trovata) c'è la mail, basta andare in process e vedere XueTr e trovi la sua email, non parla inglese ma una richiesta la traduce con google dai
hai dato una occhiata a Setting e le possibilità di interdire processi, file, chiavi ...? Mi sembra una cosa molto interessante anche se ancora non ho provato se funziona senza problemi
per la funzione log la si potrebbe richiedere, chi è il responsabile degli "esteri" qui? :)
le funzionalità sono circa tutte quelle di gmer che alla fine nella sezione infetti usiamo solamente al 10% circa ossia solo la parte del rilevamento processi nascosti
per le funzionalità extra molto meglio hjt come tu avevi già scritto :)

per la funzione log la si potrebbe richiedere, chi il responsabile degli "esteri" qui? :)
le funzionalità sono circa tutte quelle di gmer che alla fine nella sezione infetti usiamo solamente al 10% circa ossia solo la parte del rilevamento processi nascosti
per le funzionalità extra molto meglio hjt come tu avevi già scritto :)

ok capito, appena lo inserisco poi provo a fargli una email richiedendo se può pensare al'aggiunta del LOG col mio spaghetti english e vediamo cosa capisce il cinese. Comunque visto che gli spaghetti li hanno inventati loro, forse mi capisce al volo :Prrr:


Edit: ho messo XueTr nell'elenco ed ho anche fatto la e-mail allo sviluppatore, speriamo bene ....

Edit2: la mail in Cina è arrivata ma ancora nessuna risposta, mi sa che gli spaghetti non gli piacciono :-)

Grazie Romagnolo :ave: :ave:

Su questo argomento so proprio poco ed una bella guida mi interessa molto
Me ne sono accorta solo ora che avevi aperto la discussione e giusto perchè l'hai messa in firma :D
Scusa il ritardo :D

Grazie Romagnolo :ave: :ave:

Su questo argomento so proprio poco ed una bella guida mi interessa molto
Me ne sono accorta solo ora che avevi aperto la discussione e giusto perchè l'hai messa in firma :D
Scusa il ritardo :D

ehh sì ormai non ho più posto in firma se continua così avrò bisogno di una dispensa papale per poter andare su una terza riga :D
Ma mi sa che mi fermo prima per via del tempo che manca per seguire tutto
Questa comunque sarà un po' come quella sugli antimalware non penso porterà via tanto tempo, è più una cosa per "sperimentatori" e comunque generalista, non è che io sono ferrato in materia come altri che ci lavorano con ste cose

Segnalo un altro interessante programma, basato sull'ottimo gmer: si chiama avast antirootkit ed è scaricabile da qui (http://files.avast.com/files/beta/aswar.exe).
A me su windows 7 a 64bit non dà nessun problema al contrario di gmer, che all'avvio mi dà un errore in c:\windows\system32\config\system nonostante poi riesca a fare la scansione.

Segnalo un altro interessante programma, basato sull'ottimo gmer: si chiama avast antirootkit ed è scaricabile da qui (http://files.avast.com/files/beta/aswar.exe).
A me su windows 7 a 64bit non dà nessun problema al contrario di gmer, che all'avvio mi dà un errore in c:\windows\system32\config\system nonostante poi riesca a fare la scansione.

grazie della info
Per ora l'intenzione è quella come ho detto nei primi post di far emergere i programmi del "sottobosco" quindi di non citare i produttori di AV più famosi, magari col tempo uso il post di servizio per mettere alcuni antirootkit free delle software house più conosciute sperando di non fare un torto a qualcuno se lo lascio fuori dal'elenco

EDIT: ho inserito nel post 3 i prodotti delle case antivirus

relativamente ad AVAST leggi la brutta notizia ovvero che non è più supportato in favore della versione inglobata nell'AV

ho trovato questo compatibile con 7 ma devo ancora provarlo e comunque trovare un modo per testarlo...
http://rootkitanalytics.com/tools/spy-dll-remover.php#spydllremover

Ciao Romagnolo, grazie per il thread :cincin:
Ho scovato questo:
http://www.usec.at/rootkit.html
Non ho potuto provarlo perchè funziona solo con Xp e 2000 :muro:
Ciao :)

ho trovato questo compatibile con 7 ma devo ancora provarlo e comunque trovare un modo per testarlo...
http://rootkitanalytics.com/tools/spy-dll-remover.php#spydllremover

Ne ho già parlato in pagina 1, per le DLL va bene ma non per il resto, occorre affiancargli altro, diciamo che è complementare al'uso di altri anti-rootkit (che magari non analizzano le dll)

Ciao Romagnolo, grazie per il thread :cincin:
Ho scovato questo:
http://www.usec.at/rootkit.html
Non ho potuto provarlo perchè funziona solo con Xp e 2000 :muro:
Ciao :)

Grazie il programma lo conosco e non era male però per ora indico programmi che supportino il maggior numero di Sistemi, sintomo di evoluzione, quelli XP soltanto sono prodotti discontinuati IMHO quindi non adatti alle minacce sempre in evoluzione di oggi, comunque tra un po' un paio di antirootkit XP only li indicherò perchè ce ne sono di validi anche se magari non aggiornati da anni

Ne ho già parlato in pagina 1, per le DLL va bene ma non per il resto, occorre affiancargli altro, diciamo che è complementare al'uso di altri anti-rootkit (che magari non analizzano le dll)

me l'ero perso testando XueTr allora :)

questo thread mi piace...:D

ISCRITTO! :fiufiu:

questo thread mi piace...:D

ISCRITTO! :fiufiu:

Ciao ENNE benvenuto e ogni news che hai in materia dicci pure ovvio che sono molto interessato alle tue opinioni
Hai notato che XueTr va anche su 7?

Ciao ENNE benvenuto e ogni news che hai in materia dicci pure ovvio che sono molto interessato alle tue opinioni
Hai notato che XueTr va anche su 7?

si...

A me, sinceramente, dispiace solo non avere la disponibilità di RootRepeal su 7 che, anzi, in questi ultimi mesi mi sembra soffrire del fenomeno "abbandono"...:sperem:

:(

si...

A me, sinceramente, dispiace solo non avere la disponibilità di RootRepeal su 7 che, anzi, in questi ultimi mesi mi sembra soffrire del fenomeno "abbandono"...:sperem:

:(

Speriamo di no :sperem:


Intanto lo sviluppatore di XueTr mi ha risposto :yeah:

Hi, Thank you for using my software(xuetr). The feature that xuetr imports the log will add in the next version. waiting please. regards

La mette la mette e ha pure capito il mio spaghetti english :ave:

Intanto lo sviluppatore di XueTr mi ha risposto :yeah:

Hi, Thank you for using my software(xuetr). The feature that xuetr imports the log will add in the next version. waiting please. regards

La mette la mette e ha pure capito il mio spaghetti english :ave:
ottimo :)

ottimo :)

beh in realtà dovrebbe essere Export the Log ma si sa che non ha un gran inglese, comunque il senso lo ha capito ....
Speriamo bene

Aggiunto SysReveal
prodotto molto simile a XueTr e altrettanto interessante:D

ad oggi credo solo di si, non fosse altro per il fatto che la stragrande maggioranza dei malwares in circolazione è disegnata per funzioionare su sistemi @ 32bit...


Modi per bypassare il patchguard, cmq, esistono già...:D

Secondo me la diffucsione dei malwares a 64bit è strettamente collegata al solo fattore di diffusione di questo sistema:
non ti preoccupare, infatti, che la dove superasse il 20% di base installata comincerebbero a piovere a grappoli...


IMO....:D

Domanda: per chi ha seven 64bit corre meno rischi rispetto a un 32bit?:confused:

dimenticavo, ho trovato un po di antirootkit, ma immagino che li conosciate: http://www.softpedia.com/dyn-search.php?search_term=rootkit&p_page=1&license_filter=0&lastupd_filter=0&sort_field=0&results_per_page=20&pick_only=0

Security Advantages in using Windows 64-bit

Protecting computers is not limited anymore by relying to antivirus and firewall. You are also no longer limited to protecting your PC by adding or modifying settings or group policy in Windows. Microsoft has enhanced security in Windows 64-bit that is not available in 32-bit:

Hardware-based Data Execution Prevention (DEP): Modern CPUs are now supporting hardware-based DEP but only 64-bit of Windows supports hardware-based DEP. More information DEP here.
Driver Signing: 64-bit of Windows will only allow installation of device drivers that is digitally signed by its developer. With Windows 32-bit, unsigned drivers is allowed to be installed which most beta-testers require for they cannot continue testing if the program they want to test is still holding a digitally signed drivers.
Kernel Patch Protection (PatchGuard): One type of malware is called Rootkit. If you have 64-bit edition of Windows, you can enjoy protection against kernel-based rootkits. You can also avoid BSOD if you have 64-bit edition of Windows because PatchGuard does not allow any drivers to modify the kernel in Windows. Most bad driver or drivers that will modify kernel in Windows was seen the cause of BSOD or instability in Windows.

Non so quanti Rootkit possano ad oggi viaggiare in un Seven 64bit ma sta tranquillo che non manca molto tempo per vederli e le rassicurazioni di cui sopra valono oggi ma non valgono domani (o forse già non valgono oggi)

Edit: non avevo visto l'aggiunta
Gli ARK che hai postato almeno quelli che ha un senso provare (aggiornamenti del 2009-2010) sono tutti elencati sì, gli altri non ha proprio senso prenderli in considerazione essendo paleozoici

Security Advantages in using Windows 64-bit...
http://www.uninformed.org/?v=3&a=3

Advantages, si...sulla carta! :D

http://www.uninformed.org/?v=3&a=3

Advantages, si...sulla carta! :D

Appunto..immaginavo che fatta la legge trovato l'inganno valesse sempre come motto

Non mi è chiara però una cosa: se ho il sistema aggiornato e togliendo il fattore bug 0 day, l'unico modo per installare un rootkit è lanciare un eseguibile che comunque sfrutti una falla di sicurezza o non è necessario?

In altre parole, navigando (con i dovuti accorgimenti come firefox con noscript, antivirus e firewall con hips per dirne alcuni) e facendo un normale uso di un pc completamente patchato, si può stare tranquilli? (sempre a meno di bug 0 day ovviamente).

Perchè per quanto leggo in giro (e da quanto ho capito io) sembrerebbe che a sti maledetti rootkit non ci sia soluzione.....

la base di diffusione dei RK è il p2p principalmente, quindi diciamo che se tutto quello che dicevi sopra è fatto + nessun p2p allora la sicurezza è relativamente buona su un 64bit, se però si fa p2p anche minimo e si incappa in un exe appositamente preparato per un RK allora sono guai visto che una volta che gli si da permesso amministratore (ok che non si fa lo scarico di queste cose ma pensa ad un gioco o un programma ed è naturale richieda questi diritti) poi è invisibile a te e ai tuoi sistemi difensivi

http://www.uninformed.org/?v=3&a=3

Advantages, si...sulla carta! :D

No beh via :D Di teorie ce ne sono tante per carità, ma la pratica è che il 64 bit è di gran lunga molto piu robusto e sicuro

NT Internals ha pubblicato un altro interessantissimo test degli ARK questa volta relativo ai Driver invisibili nel sistema, lo potete trovare sotto agli altri test già linkati in pagina 1 al post 1

per me è quasi arabo :)

stavo cercando di trovare un ark che "primeggiasse" in tutti i test ma non mi pare ci sia

Secondo me sulla strada buona si trovava RootRepeal, ma alla grande, anche!...

Ultimamente, cmq, il suo sviluppo sembra completamente cessato :( (fine inevitabile per i prodotti che richiedono aggiornamenti costanti e che al contempo vengono distribuiti gratuitamente?)...

chi mi conferma che la versione buona di XueTr 0.32 sia questa?


MD5: 4601592413147dcdbbe49e19a5b36a10
SHA1: 175de42a9bda7200b8b7041cdd720d225084dc07
SHA256: 6aca2a5dedc04786ff47976d81d4909739478bc4da9655ec1efc98cc3ed828d9

Rapporto Virustotal (http://www.virustotal.com/it/analisis/6aca2a5dedc04786ff47976d81d4909739478bc4da9655ec1efc98cc3ed828d9-1267468769)

(preso da NT Internals)...

chi mi conferma che la versione buona di XueTr 0.32 sia questa?


MD5: 4601592413147dcdbbe49e19a5b36a10
SHA1: 175de42a9bda7200b8b7041cdd720d225084dc07
SHA256: 6aca2a5dedc04786ff47976d81d4909739478bc4da9655ec1efc98cc3ed828d9

Rapporto Virustotal (http://www.virustotal.com/it/analisis/6aca2a5dedc04786ff47976d81d4909739478bc4da9655ec1efc98cc3ed828d9-1267468769)

(preso da NT Internals)...

sì è quella che dovrebbe essere identica a questa che è sul sito dello sviluppatore
http://translate.google.com/translate?hl=fr&sl=zh-CN&tl=en&u=http://www.xuetr.com/
e che infatti da lo stesso risultato del tuo
Il file è già stato analizzato:
MD5: 4601592413147dcdbbe49e19a5b36a10
First received: 2009.12.21 03:41:23 UTC
Data 2010.03.01 18:39:29 UTC [<1D]
Risultati 6/41
Permalink: analisis/6aca2a5dedc04786ff47976d81d4909739478bc4da9655ec1efc98cc3ed828d9-1267468769

che bel 3d! :oink: certo a leggerlo i rootkit mettono più paura di quanta ne avessi prima....:eekk:

ehh intanto metto una serie di link di ABC del TDL3 così ci facciamo ancora più paura ma purtroppo questa è la vera minaci attuale al cui confronto i virus vecchio tipo sono zuccherini e le varie aziende (vedi eraser per prevx) stanno facendo i salti mortali per cercare di sconfiggerlo

http://www.pcalsicuro.com/main/2010/01/tdl3-rootkit-spettatori-di-un-gioco-a-senso-unico/

http://www.pcalsicuro.com/main/2010/02/bsod-dopo-ms10-015-tdl3-rootkit-si-scusa/

http://forum.sysinternals.com/forum_posts.asp?TID=21266

http://www.surfright.nl/en/home/press/tdl3-rootkit-still-large-issue-for-anti-virus-programs

ehh intanto metto una serie di link di ABC del TDL3 così ci facciamo ancora più paura ma purtroppo questa è la vera minaci attuale al cui confronto i virus vecchio tipo sono zuccherini e le varie aziende (vedi eraser per prevx) stanno facendo i salti mortali per cercare di sconfiggerlo

http://www.pcalsicuro.com/main/2010/01/tdl3-rootkit-spettatori-di-un-gioco-a-senso-unico/

http://www.pcalsicuro.com/main/2010/02/bsod-dopo-ms10-015-tdl3-rootkit-si-scusa/

http://forum.sysinternals.com/forum_posts.asp?TID=21266

http://www.surfright.nl/en/home/press/tdl3-rootkit-still-large-issue-for-anti-virus-programs
avevo letto giorni fa la news che microsoft aveva rilasciato un aggiornamento che andava in conflitto con il rootkit e causava la schermata blu al riavvio del pc dopo l'aggiornamento.....
vittima del rootkit anche il nuovissimo seven...almeno che non si abbia l'uac attivato:read:

avevo letto giorni fa la news che microsoft aveva rilasciato un aggiornamento che andava in conflitto con il rootkit e causava la schermata blu al riavvio del pc dopo l'aggiornamento.....
vittima del rootkit anche il nuovissimo seven...almeno che non si abbia l'uac attivato:read:

sì infatti quell'aggiornamento diciamo che inavvertitamente diveniva un tool per sapere se si è infetti e poi come ha riportato eraser nel secondo link che ho messo, quelli di TDL3 hanno al volo cambiato il loro rootkit in modo che non facesse più BSOD
Vittima anche seven sì

Qui l'analisi del TDL da parte di Dr.Web in PDF
http://www.drweb.com/static/BackDoor.Tdss.565_(aka%20TDL3)_en.pdf

OT

Ma come!? Il nostro amicone romagnolo fa un nuovo thread e non ne so nulla.... ehh... lo so, fra la mia fossilizzazione e il raffreddore sto perdendo colpi...

Complimentoni romagnolo :D :) !
Bene, bravo, bis!

Chiudo OT

OT

Ma come!? Il nostro amicone romagnolo fa un nuovo thread e non ne so nulla.... ehh... lo so, fra la mia fossilizzazione e il raffreddore sto perdendo colpi...

Complimentoni romagnolo :D :) !
Bene, bravo, bis!

Chiudo OT

mi associo ai complimenti...ero entrato in discussione ma non mi ero accorto che era un thread nuovo:doh:

i thread di romagnolo sono sempre aggiornati , chiari e completi
complimenti;)

Ci sono novità interessanti su RootRepeal:
a_d_13 ha infatti dato il via ufficialmente al beta testing della v2 :D... [vedi RootRepeal 2.0.0 Beta-Test (http://www.kernelmode.info/forum/viewtopic.php?f=11&t=126)]

Interessante anche il lavoro di EP_X0FF su RkUnhooker LE, link (http://www.kernelmode.info/forum/viewtopic.php?f=11&t=20)..

Insomma, dopo un periodo di relativa stagnazione si nota finalmente un pò di fermento...:)

Ci sono novità interessanti su RootRepeal:
a_d_13 ha infatti dato il via ufficialmente al beta testing della v2 :D... [vedi RootRepeal 2.0.0 Beta-Test (http://www.kernelmode.info/forum/viewtopic.php?f=11&t=126)]

Visto? Diffidente :D ;)

noi, cmq, stiamo aspettando un tuo tool analogo :sbav: per cui cerca di farti dare il via libera dai tuoi "superiori"...

noi, cmq, stiamo aspettando un tuo tool analogo :sbav: per cui cerca di farti dare il via libera dai tuoi "superiori"...
:eek: :sperem: :winner: :D :cool: :oink:

noi, cmq, stiamo aspettando un tuo tool analogo :sbav: per cui cerca di farti dare il via libera dai tuoi "superiori"...

Chi lo dice che non ci sia già? :p

Chi lo dice che non ci sia già? :p

Link! ;)

Link! ;)

Purtroppo non posso :) Ma vedrete qualcosa nella prossima release di Prevx probabilmente. Per ora è a uso interno

Purtroppo non posso :) Ma vedrete qualcosa nella prossima release di Prevx probabilmente. Per ora è a uso interno

:sbav:

Purtroppo non posso :) Ma vedrete qualcosa nella prossima release di Prevx probabilmente. Per ora è a uso interno

Non c'è problema ;)
Dacci il tuo indirizzo e veniamo tutti a provarlo a casa tua http://img202.imageshack.us/img202/5559/lolu.gif

Effettivamente...idea ingegnosa :eek: :D

Risolto, sorry

segnalo che la nuova versione di XueTr, scaricabile sempre dal link di pagina 1 ed attiva dal primo aprile (ma non è uno scherzo ), ha finalmente, come da noi richiesto al programmatore, la funzione di esportare le varie pagine / funzioni in un comodo file di testo txt
basta fare tasto destro su una qualsiasi riga e scegliere "Export".. in pieno stile Gmer quindi o quasi :D
Gmer fa il log di tutto, questo va fatto funzione per funzione ma è già un bel passo avanti per poterlo far usare a chi ne ha bisogno e poi poter analizzarne i risultati :winner:

segnalo che la nuova versione di XueTr, scaricabile sempre dal link di pagina 1 ed attiva dal primo aprile (ma non è uno scherzo ), ha finalmente, come da noi richiesto al programmatore, la funzione di esportare le varie pagine / funzioni in un comodo file di testo txt
basta fare tasto destro su una qualsiasi riga e scegliere "Export".. in pieno stile Gmer quindi o quasi :D
Gmer fa il log di tutto, questo va fatto funzione per funzione ma è già un bel passo avanti per poterlo far usare a chi ne ha bisogno e poi poter analizzarne i risultati :winner:

bene, ma il log va importato e incolonnato in excel o simile per poterci capire qualcosa :)
trovo ancora un pò meglio sysreveal che esporta in html e che si aggiorna in automatico

bene, ma il log va importato e incolonnato in excel o simile per poterci capire qualcosa :)
trovo ancora un pò meglio sysreveal che esporta in html e che si aggiorna in automatico

Incontentabile :Prrr: :Prrr: :Prrr:

Incontentabile :Prrr: :Prrr: :Prrr:

ti diro di più.... se magari cominciassero a fare anche il sito in inglese sarebbe una gran cosa :)

Rootkit Unhooker LE 3.8.388.590 SR2
direi che ha raggiunto una buona stabilità

http://www.wilderssecurity.com/showthread.php?t=272001
https://www.rootkit.com/blog.php?newsid=1019 qui link alle versioni install e standalone
http://www.kernelmode.info/forum/viewtopic.php?f=11&t=20&start=80

funziona perfettamente anche su 7...:D

Personalmente mi sono catubato la versione standalone...:p

Grazie, EP :fiufiu:

funziona perfettamente anche su 7...:D

Personalmente mi sono catubato la versione standalone...:p

Grazie, EP :fiufiu:

...sempre e solo per 32 bit....:cry:

...sempre e solo per 32 bit....:cry:

beh dai ad oggi i rootkit su 64bit sono solo sulla carta e prevedono attivo oblio della mente dell'utente, altrimenti per ora non vanno proprio quindi. un ark non serve

beh dai ad oggi i rootkit su 64bit sono solo sulla carta e prevedono attivo oblio della mente dell'utente, altrimenti per ora non vanno proprio quindi. un ark non serve

si parlavo di un metodo diagnostico che per i 64 bit non esiste...infatti se ti guardi la guida per infetti ...parecchi tool non girano sui 64 bit ne hjack,gmer ...asquared da poco si e' adattato...
;)

mi è capitato di incontrare un test di Maggio sugli ARK e lo riporto
http://www.anti-malware-test.com/?q=node/181

nel mondo un po' "ingessato" degli antirootkit segnalo la nuova versione di
GMER ora ufficialmente e finalmente compatibile con Seven
Ovviamente solo 32bit

http://www.gmer.net/

nel mondo un po' "ingessato" degli antirootkit segnalo la nuova versione di
GMER ora ufficialmente e finalmente compatibile con Seven
Ovviamente solo 32bit

http://www.gmer.net/

Hai ragione :p
In fondo sono programmi "di nicchia" che richiedono una certa competenza e che a volte mandano in tilt il computer.
Grazie come sempre, ciao Romagnolo :)

nel mondo un po' "ingessato" degli antirootkit segnalo la nuova versione di
GMER ora ufficialmente e finalmente compatibile con Seven
Ovviamente solo 32bit

http://www.gmer.net/

ottimo :)

sembra mooolto interessante,
http://www.novirusthanks.org/products/novirusthanks-anti-rootkit/ :read:

http://img207.imageshack.us/img207/2820/immagine1cu.jpg

Video per una presa visione delle funzionalità del programma, link! (http://www.youtube.com/v/0KwAdBDqPwA?fs=1&hl=en_GB&rel=0&autoplay=1)



PS: la software house è italiana!



EDIT:
il commento di EP_X0FF:
"Another business model - copy-pasting features from freeware tools and then trying to sell this to naive people. Unhackme section welcome. Definitely not interested to test that stuff looking like redesigned SysProt.":boh:

sembra mooolto interessante,
http://www.novirusthanks.org/products/novirusthanks-anti-rootkit/ :read:

http://img207.imageshack.us/img207/2820/immagine1cu.jpg

Video per una presa visione delle funzionalità del programma, link! (http://www.youtube.com/v/0KwAdBDqPwA?fs=1&hl=en_GB&rel=0&autoplay=1)



PS: la software house è italiana!



EDIT:
il commento di EP_X0FF:
"Another business model - copy-pasting features from freeware tools and then trying to sell this to naive people. Unhackme section welcome. Definitely not interested to test that stuff looking like redesigned SysProt.":boh:

Speriamo sia migliore dei suoi "compagni d'arme" ;)

- http://www.hwupgrade.it/forum/showpost.php?p=33255918&postcount=1944
- http://www.hwupgrade.it/forum/showpost.php?p=33258639&postcount=1945
- http://www.hwupgrade.it/forum/showpost.php?p=33261206&postcount=1946
- http://www.hwupgrade.it/forum/showpost.php?p=33262166&postcount=1947

PS: la software house è italiana!


E ti dirò di più, è pure umbra. E ti dirò ancora di più, è pure in provincia di Perugia ;)

E ti dirò di più, è pure umbra. E ti dirò ancora di più, è pure in provincia di Perugia ;)

:nonio:

E ti dirò di più, è pure umbra. E ti dirò ancora di più, è pure in provincia di Perugia ;)

e allora diciamola fino in fondo:
c'è anche del tuo?


PS: sia su WS che su KMinfo ci sono 2 discussioni aperte:
1 (http://www.wilderssecurity.com/showthread.php?t=285945),2 (http://www.kernelmode.info/forum/viewtopic.php?f=11&t=436)

A me, cmq, e indipendentemente da quello che dice EP, sembra un valido prodotto (mi baso su quello che è dato vedere sul loro sito..)

Edit scusate, thread errato....

e allora diciamola fino in fondo:
c'è anche del tuo?

Mai visti né so chi siano sinceramente :fagiano:
Sul prodotto non esprimo giudizi, potrebbero sembrare di parte altrimenti :D Anche se non lo sono

http://img543.imageshack.us/img543/9925/73242905.jpg

:D

http://www.mediafire.com/?o4mwekn7jtizdi4

SHA-256 :
619E9AE64CC9DE82DD35CB3469D413E8C78A57EC8021B8450B6EAD15526562D7

Ciao Ragazzi, ho appena fatto una scansione con GMER, mi ha rilevato due
" problemi ". Metto questa parola tra " " perchè non so se sono problemi o no, potete darmi un consiglio ?

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-22 17:43:47
Windows 6.1.7600
Running: y05neykq.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0009dd509221
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0009dd509221 (not active ControlSet)

CHE NE DITE ?

Stavo pensando una cosa... ammesso di avere un rootkit, o virus, malware, ecc sarebbe piu comodo fare una scansione con un software a DOC da Linux, e agire da lii per la rimozione !

Ciao Ragazzi, ho appena fatto una scansione con GMER, mi ha rilevato due
" problemi ". Metto questa parola tra " " perchè non so se sono problemi o no, potete darmi un consiglio ?

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-22 17:43:47
Windows 6.1.7600
Running: y05neykq.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0009dd509221
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0009dd509221 (not active ControlSet)

CHE NE DITE ?

Stavo pensando una cosa... ammesso di avere un rootkit, o virus, malware, ecc sarebbe piu comodo fare una scansione con un software a DOC da Linux, e agire da lii per la rimozione !

Per l'analisi dei log di gmer devi postare qui -> http://www.hwupgrade.it/forum/showthread.php?t=1372589

Questo non e' il topic adeguato ;)

Per sistemi a 64 bit segnalo l'ottimo programma "UnHackMe": a pagamento.

http://www.greatis.com/unhackme/

da usare in coppia con RegRun Varrior CD!

Ci sarebbe da apportare una modifica sulla compatibilità di Gmer con i sistemi a 64 bit.
Infatti la versione di Gmer v1.0.15.15530 funziona perfettamente su windows XP SP2 x64.:D

Riposto la domanda fatta nel topic che poi mi è stato chiuso:


Qualcuno può consigliarmi un anti-rootkit serio in grado di scovare possibili infezioni ancora sconosciute alle firme degli anti virus?

Riposto la domanda fatta nel topic che poi mi è stato chiuso:


Qualcuno può consigliarmi un anti-rootkit serio in grado di scovare possibili infezioni ancora sconosciute alle firme degli anti virus?

Gli anti-rootkit son programmi da saper usare.
Comunque per risponderti, hai letto la prima pagina di questo thread?

Gli antirootkits son programmi da saper usare.
Comunque per risponderti, hai letto la prima pagina di questo thread?

Se mi puoi dire cosa significa che gli antirootkits son programmi da saper usare intendi dire che io secondo te sono incapace? se si, allora perchè non c'è un qualcuno che me lo spiega?

Riposto la domanda fatta nel topic che poi mi è stato chiuso:


Qualcuno può consigliarmi un anti-rootkit serio in grado di scovare possibili infezioni ancora sconosciute alle firme degli anti virus?

Ti è stato chiuso previa indicazione del presente 3D, in quanto questo è il Thread dedicato

Se mi puoi dire cosa significa che gli antirootkits son programmi da saper usare intendi dire che io secondo te sono incapace? se si, allora perchè non c'è un qualcuno che me lo spiega?

Se desideri fare un controllo, per iniziare puoi utilizzare Prevx e Gmer

Ti è stato chiuso previa indicazione del presente 3D, in quanto questo è il Thread dedicato



Se desideri fare un controllo, per iniziare puoi utilizzare Prevx e Gmer

Scusa l'infrazione del topic fuori sezione esatta,e scusa se ho sostenuto una cosa fraintendendo però quel grassetto mi pareva un po' ironico.

Se mi puoi dire cosa significa che gli antirootkits son programmi da saper usare intendi dire che io secondo te sono incapace? se si, allora perchè non c'è un qualcuno che me lo spiega?

Non ho detto che sei incapace, semplicemente sono programmi che entrano profondamente nel sistema operativo e sono soggetti anch'essi a falsi positivi e possono addirittura provocare il crash del sistema.
Se cancelli qualcosa di fondamentale, farai enormi danni.

Non conoscendo la tua preparazione in materia, mi son limitato a consigliarti la lettura della guida di questo topic per avere un'idea generale dell'argomento.

Va da se' che in un secondo momento potevi fare specifiche richieste/domande.

P.s.
Dal canto mio, non mi sognerei mai del dare dell'incapace o inetto a qualcuno, come lo si puo' desumere dalla prima frase che ho nella mia firma.

Buona serata.

Non ho detto che sei incapace, semplicemente sono programmi che entrano profondamente nel sistema operativo e sono soggetti anch'essi a falsi positivi e possono addirittura provocare il crash del sistema.
Se cancelli qualcosa di fondamentale, farai enormi danni.

Non conoscendo la tua preparazione in materia, mi son limitato a consigliarti la lettura della guida di questo topic per avere un'idea generale dell'argomento.

Va da se' che in un secondo momento potevi fare specifiche richieste/domande.

P.s.
Dal canto mio, non mi sognerei mai del dare dell'incapace o inetto a qualcuno, come lo si puo' desumere dalla prima frase che ho nella mia firma.

Buona serata.

Ok scusami perchè mi sono posto in modo esagerato fraintendo ;)

Cercherò di leggere bene la prima pagina, se non capisco qualcosa bene posso continuare a postare?

Buona serata anche a voi

Ok scusami perchè mi sono posto in modo esagerato fraintendo ;)

Cercherò di leggere bene la prima pagina, se non capisco qualcosa bene posso continuare a postare?

Buona serata anche a voi

Certamente.
Ciao :)

Riporto sù questo 3D,visto che ai pescatori piace riportare le cose a galla, con un ottimo articolo di Eraser (http://www.ilsoftware.it/articoli.asp?id=7871) sul portale di M.Nasi,i miei saluti ad entrambi.
I lettori leggano la considerazione per HijackThis.

Non sò,se la massa lo sà, ma ad oggi sono 5 i rootkits specifici per OS W. a 64 bit:

Cidox / Mayachok.2 (http://www.kernelmode.info/forum/viewtopic.php?f=16&p=7094)
Necurs (http://www.kernelmode.info/forum/viewtopic.php?f=16&t=897)
MaxSS TDL4+ (http://www.kernelmode.info/forum/viewtopic.php?p=8758#p8758)
PlusDriver (http://www.kernelmode.info/forum/viewtopic.php?p=6447#p6447)
TDL4 (http://www.kernelmode.info/forum/viewtopic.php?f=16&t=19)

La fonte è insita nei link.

E veniamo ai tool che si può usare.
Io ho provato Hijack Hunter (http://www.novirusthanks.org/product/hijack-hunter/) che mi sembrava un pò più "in" di ESET SysInspector (http://www.eset.eu/en/eset-sysinspector) (trà l'altro mi pare che il suo sviluppo sia alquanto "fermo" ) ma devo ammettere che l'ho trovato piuttosto incomprensibile e secondo me incline ai falsi positivi.

KMI riporta che,in merito ai X64 ,ci sarebbero anche:

Sophos (http://www.sophos.com/en-us/products/free-tools/sophos-anti-rootkit.aspx) (che non è mai stato come prodotto nelle mie grazie......)
TrueX64 (mirror) (http://www.kernelmode.info/ARKs/TrueX64.rar)

Qualcuno ha avuto modo di constatare se validi (specie TrueX64) o meno ?
Oppure sà se è meglio prendere in considerazione altro ?

Malwarebytes Anti-Rootkit BETA

http://www.malwarebytes.org/products/mbar/

Malwarebytes Anti-Rootkit BETA

http://www.malwarebytes.org/products/mbar/

Buono a sapersi ;)

Buono a sapersi ;)

bisogna prima capire se sarà free o meno
Io comunque con Kaspersky tdss killer su 8 64bit mi ci trovo bene, non mi sembra un cattivo prodotto anche se non da modo di vedere cosa controlla ma è il più adatto per un utente normale.

bisogna prima capire se sarà free o meno
Io comunque con Kaspersky tdss killer su 8 64bit mi ci trovo bene, non mi sembra un cattivo prodotto anche se non da modo di vedere cosa controlla ma è il più adatto per un utente normale.

Pure. . .
Mo' che ci penso. . . e' una vita che non faccio un controllino con un antirootkit :doh:

GMER 2.0 What’s New

The new version includes the following new features and improvements:

Added support for Windows 8
Added full support for Windows x64
Added Trace I/O function
Added disk “Quick scan” function

http://www.gmer.net/

Bitdefender Rootkit Remover

http://labs.bitdefender.com/projects/rootkit-remover/rootkit-remover/

Bitdefender Rootkit Remover

http://labs.bitdefender.com/projects/rootkit-remover/rootkit-remover/

grazie Chill, primizia assoluta non ne avevo vista pubblicata la notizia da nessuna parte, non sembra malvagio (e portable visto che tiene tutto nella cartellina temp)

segnalo anche questo Antorootkit molto valido
Power Tool, che esiste anche in versione 64bit
https://code.google.com/p/powertool-google/downloads/list

Qui se ne vede una immagine esplicativa
http://www.neowin.net/news/powertool-42---open-source-rootkit-detector

Una sorta du XueTR rivisto e corretto con davvero tante info a disposizione, in controtendenza con gli ultimi AR che invece fanno tutto in automatico un clic e via

Lo stato dell'arte ad oggi degli AntiRootKit con link ai download
http://www.raymond.cc/blog/10-antirootkits-tested-to-detect-and-remove-a-hidden-rootkit/
Pagina 1 quelli "commerciali" sviluppati dalle casa Antivirus e di facile uso e interpretazione, ma di scarsa efficacia si direbbe
Pagina 2 quelli "Tecnici" di difficile interpretazione per i non esperti e che usati senza criterio possono fare danni cancellando cose necessarie al sistema, ma che hanno in genere maggior successo nel trovare ed eliminare i rootkit