Rootkit nascosti

Colds · 14-03-2011, 21:53

Dopo aver navigato un po scopro che:
ntoskrnl.exe è importante in quanto l'eliminazione comporterebbe il mancato avvio della piattaforma xp, e che
hal.dll HAL è abbreviazione del termine "Hardware Abstraction Layer", la tecnologia ed i drivers che permettono a Windows NT, 2000 ed XP di comunicare con l'hardware
Quello che mi sto chiedendo è come mai vengono rilevati da avg quando faccio la scansione rootkit?
Qualcuno saprebbe rispondermi per favore?

Il S.O. in questione (XP) è installato su Virtual Box.

Log scansione
"Rootkit"
"";"File";"Infezione";"Risultato"
"";"<unknown>";"Inline hook ntoskrnl.exe KiIpiServiceRoutine+0xB5 -> 0xF7803C68";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe ExAcquireResourceSharedLite+0x10 -> 0xF77CE9C0";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe KeSynchronizeExecution+0x58 -> 0xF7816B80";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe KeSynchronizeExecution+0x248 -> 0xF780AC30";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe ExReleaseResourceLite+0xB -> 0xF77CD560";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0xE0 -> 0xF77CD138";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0x2C6 -> 0xF77FCA98";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0x367 -> 0xF77FCEB8";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0x3F5 -> 0xF77CB640";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0x409 -> 0xF77CF538";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe ZwYieldExecution+0xB89 -> 0xF77CB6F0";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe ZwYieldExecution+0xD30 -> 0xF7813998";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe Kei386EoiHelper -> 0xF77CF5E8";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe KiCoprocessorError+0x25 -> 0xF77CF390";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe IoCreateStreamFileObjectEx+0x130 -> 0xF7804FB8";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe IoStopTimer+0xB -> 0xF781D3F8";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook ntoskrnl.exe ExGetSharedWaiterCount+0x13B -> 0xF7826CD0";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll +0xB12 -> 0xF77CC4F0";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll +0xC13 -> 0xF77CC378";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll KfRaiseIrql+0x12 -> 0xF77CB280";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll KeRaiseIrqlToSynchLevel+0x1 -> 0xF77CB340";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll KfLowerIrql+0xB -> 0xF77CB408";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll KfReleaseSpinLock+0xB -> 0xF77CCD58";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll ExTryToAcquireFastMutex+0xC -> 0xF780DF80";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll HalEnableSystemInterrupt+0x51 -> 0xF77FE0A0";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll HalRequestSoftwareInterrupt+0x8 -> 0xF77CCF90";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll HalClearSoftwareInterrupt+0x19C -> 0xF77FD2C0";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll HalClearSoftwareInterrupt+0x34A -> 0xF78059F8";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook hal.dll HalMakeBeep+0x42D -> 0xF7800560";"L'oggetto è nascosto"
"";"<unknown>";"Inline hook VBoxGuest.sys RTSpinlockAcquireNoInts+0x2B -> 0xF7818850";"L'oggetto è nascosto"

In attesa di vostre risposte vi ringrazio,
Colds

Colds · 15-03-2011, 17:38

UP

14-03-2011, 21:53	#1
Colds Member Iscritto dal: Dec 2009 Messaggi: 62	Rootkit nascosti Dopo aver navigato un po scopro che: ntoskrnl.exe è importante in quanto l'eliminazione comporterebbe il mancato avvio della piattaforma xp, e che hal.dll HAL è abbreviazione del termine "Hardware Abstraction Layer", la tecnologia ed i drivers che permettono a Windows NT, 2000 ed XP di comunicare con l'hardware Quello che mi sto chiedendo è come mai vengono rilevati da avg quando faccio la scansione rootkit? Qualcuno saprebbe rispondermi per favore? Il S.O. in questione (XP) è installato su Virtual Box. Log scansione "Rootkit" "";"File";"Infezione";"Risultato" "";"<unknown>";"Inline hook ntoskrnl.exe KiIpiServiceRoutine+0xB5 -> 0xF7803C68";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe ExAcquireResourceSharedLite+0x10 -> 0xF77CE9C0";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe KeSynchronizeExecution+0x58 -> 0xF7816B80";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe KeSynchronizeExecution+0x248 -> 0xF780AC30";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe ExReleaseResourceLite+0xB -> 0xF77CD560";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0xE0 -> 0xF77CD138";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0x2C6 -> 0xF77FCA98";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0x367 -> 0xF77FCEB8";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0x3F5 -> 0xF77CB640";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe KiDispatchInterrupt+0x409 -> 0xF77CF538";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe ZwYieldExecution+0xB89 -> 0xF77CB6F0";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe ZwYieldExecution+0xD30 -> 0xF7813998";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe Kei386EoiHelper -> 0xF77CF5E8";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe KiCoprocessorError+0x25 -> 0xF77CF390";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe IoCreateStreamFileObjectEx+0x130 -> 0xF7804FB8";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe IoStopTimer+0xB -> 0xF781D3F8";"L'oggetto è nascosto" "";"<unknown>";"Inline hook ntoskrnl.exe ExGetSharedWaiterCount+0x13B -> 0xF7826CD0";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll +0xB12 -> 0xF77CC4F0";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll +0xC13 -> 0xF77CC378";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll KfRaiseIrql+0x12 -> 0xF77CB280";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll KeRaiseIrqlToSynchLevel+0x1 -> 0xF77CB340";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll KfLowerIrql+0xB -> 0xF77CB408";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll KfReleaseSpinLock+0xB -> 0xF77CCD58";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll ExTryToAcquireFastMutex+0xC -> 0xF780DF80";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll HalEnableSystemInterrupt+0x51 -> 0xF77FE0A0";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll HalRequestSoftwareInterrupt+0x8 -> 0xF77CCF90";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll HalClearSoftwareInterrupt+0x19C -> 0xF77FD2C0";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll HalClearSoftwareInterrupt+0x34A -> 0xF78059F8";"L'oggetto è nascosto" "";"<unknown>";"Inline hook hal.dll HalMakeBeep+0x42D -> 0xF7800560";"L'oggetto è nascosto" "";"<unknown>";"Inline hook VBoxGuest.sys RTSpinlockAcquireNoInts+0x2B -> 0xF7818850";"L'oggetto è nascosto" In attesa di vostre risposte vi ringrazio, Colds __________________ Ultima modifica di Colds : 17-03-2011 alle 17:54. Motivo: Precisazione della questione

15-03-2011, 17:38	#2
Colds Member Iscritto dal: Dec 2009 Messaggi: 62	UP __________________ Ultima modifica di Colds : 19-03-2011 alle 20:31.

Strumenti
Mostra una versione stampabile Invia questa pagina per email