Rootkit releaver

[Stex75]

Con la storia di sony e del suo rootkit ho cominciato ad interessarmi a questi ultimi, che, da quel che ho letto in giro, sembrano essere quasi del tutto invisibile ad antivirus e altro...
Ho provato a scaricare ed usare rootkit releaver e mi ha trovato questo:



In allegato ho inserito il log di HijackThis v1.99.1

Devo preoccuparmi?

Grazie e ciauz!!

[Beelzebub]

Cosa sono i rootkit?

[andorra24]

Quote:

Originariamente inviato da Beelzebub

Cosa sono i rootkit?

Si tratta, in pratica, di tool utilizzati dagli hackers ideati per lavorare in background e comunicare con l'esterno senza però arrecare disturbo né interrompere l'attività del PC. I Rootkit sono praticamente invisibili ma consentono la comunicazione con l'esterno e la lettura delle attività del sistema.

[Stex75]

Nessun aiuto/suggerimento?

[andorra24]

Quote:

Originariamente inviato da Stex75

Nessun aiuto/suggerimento?

Fixa queste voci:
C:\TEMP\ZOTIYBI.exe
O23 - Service: ZOTIYBI - Sysinternals - www.sysinternals.com - C:\TEMP\ZOTIYBI.exe

[Stex75]

Quella l'ho messa a posto ieri sera dopo il primo scan in effetti!!
E' riguardo alla scansione di rootkit releaver che non so come comportarmi: cancello quelle voci di registro????

Grazie e ciauz!!

[andorra24]

Quote:

Originariamente inviato da Stex75

Quella l'ho messa a posto ieri sera dopo il primo scan in effetti!!
E' riguardo alla scansione di rootkit releaver che non so come comportarmi: cancello quelle voci di registro????

Grazie e ciauz!!

Se vuoi rimuovere quelle voci di registro fallo pure ma ti consiglio di fare prima un backup delle voci che devi rimuovere in modo da ripristinarle facilmente in caso di problemi.

[Stex75]

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!

[andorra24]

Quote:

Originariamente inviato da Stex75

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!

Non so se sono rootkit, potrebbero anche essere falsi positivi. Hai provato a fare un paio di scansioni antivirus?

[Stex75]

Sì, ho provato un paio di scansioni con avast ma non trova nulla, una programmata all'avvio (ma si blocca, è un problema che ho da un po' che su win a random il mio pc si freeza).
Con spybot ed ewido niente da segnalare.

Grazie e ciauz!

EDIT: ora che ricordo, una settimana fa ewido mi aveva trovato qualcosa sul file di installazione di xp-antispy3.9 ita, ma al successivo aggiornamento delle firme non ha trovato più nulla (e non avevo cancellato naturalmente il file, quindi ho pensato ad un falso positivo, visto che xp-antispy ce l'ho da mesi lì).

[andorra24]

Fai una scansione con bitdefender free:
http://www.bitdefender.com/site/Down...adFile/340/EN/
e una scansione con l'anti-rootkit della F-secure:
http://www.europe.f-secure.com/exclu...ght/blbeta.exe

[Stex75]

Ok, grazie!

Stasera proverò a verificare anche con quelli online!!

Ciauz!!

[wgator]

Quote:

Originariamente inviato da Stex75

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!

Ciao,

l'espressione "Data mismatch between Windows API and raw hive data" si riferisce semplicemente a incoerenze tra qualche programma e la relativa chiave di registro. In pratica l'anti rootkit di Sysinternals si comporta come un programma "di controllo registro" e rileva queste incoerenze. Spesso si tratta di vecchie chiavi obsolete riferite a programmi rimossi ma non sempre è così

Personalmente eviterei di manomettere il registro oppure, come ti ha spiegato Andorra, se proprio le vuoi rimuovere, prima fai un bel back-up.

Capita spesso infatti, che dopo una vigorosa ripulita al registro qualcosa non funzioni più a dovere
Giusto Domenica scorsa un mio pazzoide amico, seguendo le indicazioni, non ricordo se di JV16 oppure di Regseeker, ha rimosso 800 chiavi ritenute inutili.

Risultato: non gli funzionavano più molti programmi e non riusciva più ad aprire le cartelle di windows. Ha dovuto formattare

[Stex75]

ok, grazie mille per le spiegazioni. L'importante è che non siano rootkit.
Allora più do tanto non mi preoccupo al momento!!

Grazie e ciauz!!

[wgator]

Ciao,

ho fatto un esperimento, chi ha installato il KAV Antivirus (gioia e dannazione di wgator, curioso antivirus! ) si troverà probabilmente centinaia, se non migliaia di voci che riportano la dicitura "KAVICHS" simili a queste:

C:\boot.ini:KAVICHS 04/11/2005 21.10 132 bytes Hidden from Windows API.
C:\Documents and Settings\All Users\Dati applicazioni\desktop.ini:KAVICHS 05/11/2005 12.18 132 bytes Hidden from Windows API.

Niente paura, si tratta del nostro amato KAV che usa una sua tecnica basata su un controllo "crc" e memorizza le "firme" di molti file per velocizzare le successive scansioni. Maggiori info (in inglese):

http://www.kaspersky.com/faq?qid=156636746
http://www.kaspersky.com/faq?qid=156666512

[andorra24]

Quote:

Originariamente inviato da wgator

Ciao,

ho fatto un esperimento, chi ha installato il KAV Antivirus (gioia e dannazione di wgator, curioso antivirus! ) si troverà probabilmente centinaia, se non migliaia di voci che riportano la dicitura "KAVICHS" simili a queste:

C:\boot.ini:KAVICHS 04/11/2005 21.10 132 bytes Hidden from Windows API.
C:\Documents and Settings\All Users\Dati applicazioni\desktop.ini:KAVICHS 05/11/2005 12.18 132 bytes Hidden from Windows API.

Niente paura, si tratta del nostro amato KAV che usa una sua tecnica basata su un controllo "crc" e memorizza le "firme" di molti file per velocizzare le successive scansioni. Maggiori info (in inglese):

http://www.kaspersky.com/faq?qid=156636746
http://www.kaspersky.com/faq?qid=156666512

Chi vuole evitare gli ADS del kaspersky puo' farlo con facilita' durante il setup dell'antivirus. Basta togliere la spunta da ''Use iStreams'' e il computer non avra' nessuna voce KAVICHS. Anche in fase di disinstallazione c'e' un opzione che permette la rimozione degli ADS per coloro che invece hanno utilizzato la tecnologia iStreams.

ps: il nuovo KAV2006 e KIS2006 non usano piu' iStreams

[Beelzebub]

Quote:

Originariamente inviato da andorra24

Si tratta, in pratica, di tool utilizzati dagli hackers ideati per lavorare in background e comunicare con l'esterno senza però arrecare disturbo né interrompere l'attività del PC. I Rootkit sono praticamente invisibili ma consentono la comunicazione con l'esterno e la lettura delle attività del sistema.

Grazie, non lo sapevo!

[fester40]

Ciao, vorrei sapere se la presenza di eventuali rootkit "maligni" possono essere evidenziati con una scansione di Hijackthis. Grazie.