|
|||||||
|
|
|
 |
|
|
Strumenti |
05-10-2006, 14:40
|
#1 |
|
Senior Member
Iscritto dal: Jun 2006
Città: bellissima, mare, ..aria pura, sole a volontà!! Pero' non me li godo...
Messaggi: 657
|
RootkitRevealer Logs...
Ciao a tutti,
Ho eseguito 2 volte rootkitrevealer ed ho ottenuto 2 log non identici, come mai ? Il primo e' questo: HKLM\S-1-5-21-796845957-1677128483-1957994488-1004\RemoteAcc ess\InternetProfile 03/08/2006 14.59 13 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\ D823A2B4C60D20F4F68237C0C8105360EB1AA2BB\Blob 05/10/200 6 13.12 1.18 KB Data mismatch between Windows API and raw hive data. C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab\AVP6\PdmHist\e80.A3B28C2001C6E86F.history\00000000.bak&n bsp;05/10/2006 13.19 4.15 MB Hidden from Windows API. C:\RECYCLER\NPROTECT\00000058.RDB 05/10/2006 13.16 3.16 MB Hidden from Windows API. C:\RECYCLER\NPROTECT\00000059 05/10/2006 13.19 4.15 MB Hidden from Windows API. C:\WINDOWS\Temp\PR1CB.tmp 05/10/2006 13.22 22.66 MB Hidden from Windows API. ___________________________ Poi ho fatto una nuova scansione ed ecco il secondo log: HKLM\S-1-5-21-796845957-1677128483-1957994488-1004\RemoteAcc ess\InternetProfile 03/08/2006 14.59 13 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 05/10/200 6 13.30 80 bytes Data mismatch between Windows API and raw hive data. C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab\AVP6\PdmHist\6d4.9AC3477001C6E871.history\00000000.bak&n bsp;05/10/2006 13.32 4.14 MB Hidden from Windows API. C:\RECYCLER\NPROTECT\00000000 05/10/2006 13.32 4.14 MB Hidden from Windows API. C:\RECYCLER\NPROTECT\00000001.RDB 05/10/2006 13.30 3.16 MB Hidden from Windows API. C:\WINDOWS\Temp\PR1D0.tmp 05/10/2006 13.34 2.13 MB Hidden from Windows API. Come mai e' differente ? Ci sino dei problemi sul PC ? Kaspersky AV 6.0 e Prevx1 non trovano nulla... Ho anche notato che rootkitrevealer carica ogni volta un nuovo file .exe; ad esempio RYE.exe, o HP.exe, VW.exe etc... questo nuovo file viene sempre creato nella cartella ...\impostazioni locali\Temp E' normale? Quando si avvia rootkitrevealer inoltre, Prevx1 mi avverte che il PC sta eseguendo un'applicazione indeterminata e il bollino nel system tray di prevx1 diventa rosso...(o arancione, non ricordo...) Potete aiutarmi ? GRAZIE infinite !! Bye !!! |
|
|
|
05-10-2006, 16:25
|
#2 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
hai provato con il tool di gromozon fatto dal team prevx?
|
|
|
|
|
05-10-2006, 17:26
|
#3 | |
|
Senior Member
Iscritto dal: Jun 2006
Città: bellissima, mare, ..aria pura, sole a volontà!! Pero' non me li godo...
Messaggi: 657
|
Quote:
Launching Scan Removing rootkit file... Scanning Windows Directory... C:\WINDOWS\kwgkk1.dll is infected with Adware LinkOptimizer C:\WINDOWS\system32\ieaa.dll is infected with Gromozon Agent Searching for EFS service files... Trojan.Gromozon Removed! Ora pero' su un altro PC mai affetto da Gromozon, con rootkitrevealer trovo sempre un file .TMP nascosto e il cui Timestamp e' sempre del giorno stesso in cui eseguo rootkitrevealer. Quindi ho pensato fosse un file .TMP nascosto (sempre del tipo C:\WINDOWS\Temp\PR1xx.tmp) creato proprio da RootkitRevealer, ma non ne sono sicuro, per questo speravo che qualcuno potesse chiarirmi di cosa si tratta... Nell'ultima scansione il log sospetto era questo C:\WINDOWS\Temp\PR1D0.tmp 05/10/2006 13.34 2.13 MB Hidden from Windows API. Ciao e GRAZIE !!! |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:04.
