Rootkit... cosa succede ?!?

MadebyN · 09-11-2005, 01:53

Questo è il mio log:

HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 01/07/2005 21.39 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40 03/11/2005 21.15 0 bytes Hidden from Windows API.

Sono relativi alle periferiche virtuali di Alcohol, non dovrei preoccuparmi ma... MS Antispyware mi blocca qualcosa, in allegato lo screenshoot.

wgator · 09-11-2005, 21:35

Ciao,

quel file exe, contenuto in una cartella temporanea, va sicuramente eliminato, si tratta di schifezza

. Cancellalo, eventualmente da modalità provvisoria.

Il mio consiglio veramente è quello di cancellare regolarmente tutto il contenuto delle (moltissime, troppe!

) cartelle temporanee di windows.

Jaguar64bit · 10-11-2005, 00:58

Quote:

Originariamente inviato da wgator

Ciao,

quel file exe, contenuto in una cartella temporanea, va sicuramente eliminato, si tratta di schifezza

. Cancellalo, eventualmente da modalità provvisoria.

Il mio consiglio veramente è quello di cancellare regolarmente tutto il contenuto delle (moltissime, troppe!

) cartelle temporanee di windows.

Allora l'ideale è installarsi CCleaner e settarlo in maniera che ad ogni avvio cancelli tutti i file temporanei di I.E e cartelle derivate.

wgator · 10-11-2005, 12:25

Ciao,

mah, ho fatto qualche approfondimento ed ho notato che
RootkitRevealer di Sysinternals genera nelle cartelle temporanee di windows dei processi con nomi strani e poco rassicuranti probabilmente random, come ad esempio "XTUJCCCTJ.EXE" "JA.EXE" "WTSCX.EXE"

Li ho fatti analizzare QUI e QUI e il 90% delle "antivirus house" li riconoscono come "puliti" mentre in un paio di casi sono stati bollati come sospetti. Nulla di pericoloso comunque

Resta il mio consiglio: se usate il pc con un unico utente (questioni di privacy) di andate in "sistema -> avanzate -> variabili d'ambiente" e dirottate tutti i file temporanei (sia di utente sia di sistema) in un'unica cartella (per esempio C:\Temp) in modo da poterli controllare meglio ed eventualmente cancellarli periodicamente

wgator · 10-11-2005, 12:35

... già che ci siamo, specialmente per chi ha l'ADSL ecco un'altra buona norma:

BravoGT83 · 10-11-2005, 13:15

ottima idea wgator

MadebyN · 10-11-2005, 14:20

Grazie per l'investigazione

Dirotto da sempre i "temp" in una cartella da sorvegliare.

Adotto anch'io il trucco per IE. Ma uso FireFox.

Non utilizzo CCleaner per "perversioni" personali.

A presto...

09-11-2005, 21:35	#2
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, quel file exe, contenuto in una cartella temporanea, va sicuramente eliminato, si tratta di schifezza . Cancellalo, eventualmente da modalità provvisoria. Il mio consiglio veramente è quello di cancellare regolarmente tutto il contenuto delle (moltissime, troppe! ) cartelle temporanee di windows. __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

10-11-2005, 12:25	#4
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, mah, ho fatto qualche approfondimento ed ho notato che RootkitRevealer di Sysinternals genera nelle cartelle temporanee di windows dei processi con nomi strani e poco rassicuranti probabilmente random, come ad esempio "XTUJCCCTJ.EXE" "JA.EXE" "WTSCX.EXE" Li ho fatti analizzare QUI e QUI e il 90% delle "antivirus house" li riconoscono come "puliti" mentre in un paio di casi sono stati bollati come sospetti. Nulla di pericoloso comunque Resta il mio consiglio: se usate il pc con un unico utente (questioni di privacy) di andate in "sistema -> avanzate -> variabili d'ambiente" e dirottate tutti i file temporanei (sia di utente sia di sistema) in un'unica cartella (per esempio C:\Temp) in modo da poterli controllare meglio ed eventualmente cancellarli periodicamente __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

10-11-2005, 12:35	#5
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	... già che ci siamo, specialmente per chi ha l'ADSL ecco un'altra buona norma: __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

10-11-2005, 13:15	#6
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	ottima idea wgator

10-11-2005, 14:20	#7
MadebyN Senior Member Iscritto dal: Aug 2004 Messaggi: 488	Grazie per l'investigazione Dirotto da sempre i "temp" in una cartella da sorvegliare. Adotto anch'io il trucco per IE. Ma uso FireFox. Non utilizzo CCleaner per "perversioni" personali. A presto...

Strumenti
Mostra una versione stampabile Invia questa pagina per email