Rootkit releaver

Stex75 · 07-11-2005, 23:36

Con la storia di sony e del suo rootkit ho cominciato ad interessarmi a questi ultimi, che, da quel che ho letto in giro, sembrano essere quasi del tutto invisibile ad antivirus e altro...
Ho provato a scaricare ed usare rootkit releaver e mi ha trovato questo:

In allegato ho inserito il log di HijackThis v1.99.1

Devo preoccuparmi?

Grazie e ciauz!!

Beelzebub · 08-11-2005, 11:54

Cosa sono i rootkit?

andorra24 · 08-11-2005, 12:05

Quote:

Originariamente inviato da Beelzebub

Cosa sono i rootkit?

Si tratta, in pratica, di tool utilizzati dagli hackers ideati per lavorare in background e comunicare con l'esterno senza però arrecare disturbo né interrompere l'attività del PC. I Rootkit sono praticamente invisibili ma consentono la comunicazione con l'esterno e la lettura delle attività del sistema.

Stex75 · 08-11-2005, 12:48

Nessun aiuto/suggerimento?

andorra24 · 08-11-2005, 13:06

Quote:

Originariamente inviato da Stex75

Nessun aiuto/suggerimento?

Fixa queste voci:
C:\TEMP\ZOTIYBI.exe
O23 - Service: ZOTIYBI - Sysinternals - www.sysinternals.com - C:\TEMP\ZOTIYBI.exe

Stex75 · 08-11-2005, 13:59

Quella l'ho messa a posto ieri sera dopo il primo scan in effetti!!
E' riguardo alla scansione di rootkit releaver che non so come comportarmi: cancello quelle voci di registro????

Grazie e ciauz!!

andorra24 · 08-11-2005, 14:03

Quote:

Originariamente inviato da Stex75

Quella l'ho messa a posto ieri sera dopo il primo scan in effetti!!
E' riguardo alla scansione di rootkit releaver che non so come comportarmi: cancello quelle voci di registro????

Grazie e ciauz!!

Se vuoi rimuovere quelle voci di registro fallo pure ma ti consiglio di fare prima un backup delle voci che devi rimuovere in modo da ripristinarle facilmente in caso di problemi.

Stex75 · 08-11-2005, 14:11

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!

andorra24 · 08-11-2005, 14:18

Quote:

Originariamente inviato da Stex75

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!

Non so se sono rootkit, potrebbero anche essere falsi positivi. Hai provato a fare un paio di scansioni antivirus?

Stex75 · 08-11-2005, 14:21

Sì, ho provato un paio di scansioni con avast ma non trova nulla, una programmata all'avvio (ma si blocca, è un problema che ho da un po' che su win a random il mio pc si freeza).
Con spybot ed ewido niente da segnalare.

Grazie e ciauz!

EDIT: ora che ricordo, una settimana fa ewido mi aveva trovato qualcosa sul file di installazione di xp-antispy3.9 ita, ma al successivo aggiornamento delle firme non ha trovato più nulla (e non avevo cancellato naturalmente il file, quindi ho pensato ad un falso positivo, visto che xp-antispy ce l'ho da mesi lì).

andorra24 · 08-11-2005, 14:27

Fai una scansione con bitdefender free:
http://www.bitdefender.com/site/Down...adFile/340/EN/
e una scansione con l'anti-rootkit della F-secure:
http://www.europe.f-secure.com/exclu...ght/blbeta.exe

Stex75 · 08-11-2005, 14:31

Ok, grazie!

Stasera proverò a verificare anche con quelli online!!

Ciauz!!

wgator · 08-11-2005, 17:17

Quote:

Originariamente inviato da Stex75

Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"?
Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!!

Grazie e ciauz!

Ciao,

l'espressione "Data mismatch between Windows API and raw hive data" si riferisce semplicemente a incoerenze tra qualche programma e la relativa chiave di registro. In pratica l'anti rootkit di Sysinternals si comporta come un programma "di controllo registro" e rileva queste incoerenze. Spesso si tratta di vecchie chiavi obsolete riferite a programmi rimossi ma non sempre è così

Personalmente eviterei di manomettere il registro oppure, come ti ha spiegato Andorra, se proprio le vuoi rimuovere, prima fai un bel back-up.

Capita spesso infatti, che dopo una vigorosa ripulita al registro qualcosa non funzioni più a dovere

Giusto Domenica scorsa un mio pazzoide amico, seguendo le indicazioni, non ricordo se di JV16 oppure di Regseeker, ha rimosso 800 chiavi ritenute inutili.

Risultato: non gli funzionavano più molti programmi e non riusciva più ad aprire le cartelle di windows. Ha dovuto formattare

Stex75 · 08-11-2005, 17:24

ok, grazie mille per le spiegazioni. L'importante è che non siano rootkit.
Allora più do tanto non mi preoccupo al momento!!

Grazie e ciauz!!

wgator · 08-11-2005, 17:50

Ciao,

ho fatto un esperimento, chi ha installato il KAV Antivirus (gioia e dannazione di wgator, curioso antivirus!

) si troverà probabilmente centinaia, se non migliaia di voci che riportano la dicitura "KAVICHS" simili a queste:

C:\boot.ini:KAVICHS 04/11/2005 21.10 132 bytes Hidden from Windows API.
C:\Documents and Settings\All Users\Dati applicazioni\desktop.ini:KAVICHS 05/11/2005 12.18 132 bytes Hidden from Windows API.

Niente paura, si tratta del nostro amato KAV che usa una sua tecnica basata su un controllo "crc" e memorizza le "firme" di molti file per velocizzare le successive scansioni. Maggiori info (in inglese):

http://www.kaspersky.com/faq?qid=156636746
http://www.kaspersky.com/faq?qid=156666512

andorra24 · 08-11-2005, 18:03

Quote:

Originariamente inviato da wgator

Ciao,

ho fatto un esperimento, chi ha installato il KAV Antivirus (gioia e dannazione di wgator, curioso antivirus!

) si troverà probabilmente centinaia, se non migliaia di voci che riportano la dicitura "KAVICHS" simili a queste:

C:\boot.ini:KAVICHS 04/11/2005 21.10 132 bytes Hidden from Windows API.
C:\Documents and Settings\All Users\Dati applicazioni\desktop.ini:KAVICHS 05/11/2005 12.18 132 bytes Hidden from Windows API.

Niente paura, si tratta del nostro amato KAV che usa una sua tecnica basata su un controllo "crc" e memorizza le "firme" di molti file per velocizzare le successive scansioni. Maggiori info (in inglese):

http://www.kaspersky.com/faq?qid=156636746
http://www.kaspersky.com/faq?qid=156666512

Chi vuole evitare gli ADS del kaspersky puo' farlo con facilita' durante il setup dell'antivirus. Basta togliere la spunta da ''Use iStreams'' e il computer non avra' nessuna voce KAVICHS. Anche in fase di disinstallazione c'e' un opzione che permette la rimozione degli ADS per coloro che invece hanno utilizzato la tecnologia iStreams.

ps: il nuovo KAV2006 e KIS2006 non usano piu' iStreams

Beelzebub · 09-11-2005, 14:06

Quote:

Originariamente inviato da andorra24

Si tratta, in pratica, di tool utilizzati dagli hackers ideati per lavorare in background e comunicare con l'esterno senza però arrecare disturbo né interrompere l'attività del PC. I Rootkit sono praticamente invisibili ma consentono la comunicazione con l'esterno e la lettura delle attività del sistema.

Grazie, non lo sapevo!

fester40 · 09-11-2005, 14:56

Ciao, vorrei sapere se la presenza di eventuali rootkit "maligni" possono essere evidenziati con una scansione di Hijackthis. Grazie.

08-11-2005, 11:54	#2
Beelzebub Senior Member Iscritto dal: Apr 2003 Città: Genova Messaggi: 17635	Cosa sono i rootkit? __________________ PSU Corsair 520HX \| Case Corsair Graphite T380 Black \| Mobo AsRock Z97E ITX/AC \| CPU Intel i5 4690 \| Dissi Noctua NH-L12 \| RAM Corsair Vengeance 16Gb DDR3 \| GPU Msi GTX 970 Gaming 4G \| SSD Crucial MX100 256 Gb + HDD WD 500Gb \| Tasietra Logitech G910 \| Mouse Logitech G502 Lightspeed \| Cuffie Logitech G935 \| Monitor LG IPS237L \| Profilo Steam \| Btag: BelzeHWup#1129 \|

08-11-2005, 12:48	#4
Stex75 Senior Member Iscritto dal: May 2002 Messaggi: 4528	Nessun aiuto/suggerimento? __________________ Dell e6400 + Asus nexus 7 + galaxy s2

08-11-2005, 13:59	#6
Stex75 Senior Member Iscritto dal: May 2002 Messaggi: 4528	Quella l'ho messa a posto ieri sera dopo il primo scan in effetti!! E' riguardo alla scansione di rootkit releaver che non so come comportarmi: cancello quelle voci di registro???? Grazie e ciauz!! __________________ Dell e6400 + Asus nexus 7 + galaxy s2

08-11-2005, 14:11	#8
Stex75 Senior Member Iscritto dal: May 2002 Messaggi: 4528	Ok, ma praticamente ha trovato dei rootkit sul mio pc? Ho solo voci di sistema "strane"? Ho provato a cercare una guida a rootkit, ma non ho trovato nulla di esauriente....e soprattutto l'inglese non è il mio forte!! Grazie e ciauz! __________________ Dell e6400 + Asus nexus 7 + galaxy s2

08-11-2005, 14:21	#10
Stex75 Senior Member Iscritto dal: May 2002 Messaggi: 4528	Sì, ho provato un paio di scansioni con avast ma non trova nulla, una programmata all'avvio (ma si blocca, è un problema che ho da un po' che su win a random il mio pc si freeza). Con spybot ed ewido niente da segnalare. Grazie e ciauz! EDIT: ora che ricordo, una settimana fa ewido mi aveva trovato qualcosa sul file di installazione di xp-antispy3.9 ita, ma al successivo aggiornamento delle firme non ha trovato più nulla (e non avevo cancellato naturalmente il file, quindi ho pensato ad un falso positivo, visto che xp-antispy ce l'ho da mesi lì). __________________ Dell e6400 + Asus nexus 7 + galaxy s2

08-11-2005, 14:27	#11
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Fai una scansione con bitdefender free: http://www.bitdefender.com/site/Down...adFile/340/EN/ e una scansione con l'anti-rootkit della F-secure: http://www.europe.f-secure.com/exclu...ght/blbeta.exe

08-11-2005, 14:31	#12
Stex75 Senior Member Iscritto dal: May 2002 Messaggi: 4528	Ok, grazie! Stasera proverò a verificare anche con quelli online!! Ciauz!! __________________ Dell e6400 + Asus nexus 7 + galaxy s2

08-11-2005, 17:24	#14
Stex75 Senior Member Iscritto dal: May 2002 Messaggi: 4528	ok, grazie mille per le spiegazioni. L'importante è che non siano rootkit. Allora più do tanto non mi preoccupo al momento!! Grazie e ciauz!! __________________ Dell e6400 + Asus nexus 7 + galaxy s2

08-11-2005, 17:50	#15
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, ho fatto un esperimento, chi ha installato il KAV Antivirus (gioia e dannazione di wgator, curioso antivirus! ) si troverà probabilmente centinaia, se non migliaia di voci che riportano la dicitura "KAVICHS" simili a queste: C:\boot.ini:KAVICHS 04/11/2005 21.10 132 bytes Hidden from Windows API. C:\Documents and Settings\All Users\Dati applicazioni\desktop.ini:KAVICHS 05/11/2005 12.18 132 bytes Hidden from Windows API. Niente paura, si tratta del nostro amato KAV che usa una sua tecnica basata su un controllo "crc" e memorizza le "firme" di molti file per velocizzare le successive scansioni. Maggiori info (in inglese): http://www.kaspersky.com/faq?qid=156636746 http://www.kaspersky.com/faq?qid=156666512 __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

09-11-2005, 14:56	#18
fester40 Senior Member Iscritto dal: Mar 2005 Città: West Liguria Messaggi: 2330	Ciao, vorrei sapere se la presenza di eventuali rootkit "maligni" possono essere evidenziati con una scansione di Hijackthis. Grazie. __________________ .....sono solo un praticone che si arrangia.....

Strumenti
Mostra una versione stampabile Invia questa pagina per email