|
|||||||
|
|
|
 |
|
|
Strumenti |
13-10-2006, 15:58
|
#1 |
|
Member
Iscritto dal: Sep 2006
Messaggi: 125
|
Aiuto, sospetto rootkit!!!!
Oggi ho installato la nuova versione di ewido, l'avg antispyware, e nella sezione "Avvio automatico" ho notato qualcosa di sospetto!!!!
 Ma questa chiave non è quella usata da un leaktest???? Se non ricordo male.... Che mi dite? Nè da msconfig nè da autoruns vedo questa chiave. La cosa strana è che il percorso della chiave (rettangolo rosso in figura) cambia di continuo durante la visualizzazione, oltre a presentare caratteri indecifrabili.  Edit. Hijack non segnala niente, tra l'altro ho trovato questo: "La stringa AppInit_DLLs contenuta nel registro di sistema, può contenere una lista di librerie DLL che devono essere inzializzate all'avvio di Windows. Alcuni malware sfruttano questa possibilità per caricare, ad ogni avvio del sistema, le proprie pericolose librerie." L'importante è che nel chiave non ci sia scritto alcun valore, giusto? Effettivamente a me non c'è scritto nulla, quindi dovrei stare tranquillo..... Ultima modifica di Sharketor : 13-10-2006 alle 16:04. |
|
|
|
13-10-2006, 17:15
|
#2 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
non hai un riferimento esplicito al file che si appoggia a quella DLL?
|
|
|
|
|
14-10-2006, 16:21
|
#3 |
|
Member
Iscritto dal: Sep 2006
Messaggi: 125
|
Ho scritto tutto quello che so, di più nin zò!!!!!
|
|
|
|
|
14-10-2006, 16:53
|
#4 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
è una chiave particolarmente delicata (process-guard, ad es, la monitora proprio per evitare rogne ben + gravi...) ed è molto strano anche quel valore indecifrabile....
Si, anche i Leaktest sfruttano questa chiave (vedi Jumper, per es...) Per sicurezza, cmq, farei qualche giro con specifici antirootkit come quello di F-Secure, sophos, ecc... |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 04:10.
