gmer e rootkit

[davisurf]

salve a tutti, è affidabile gmer per rilevare rootkit?

questo il report, ho qualche dubbio:

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-25 12:25:41
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwClose <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateFile <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateKey <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcess <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcessEx <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateThread <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteFile <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteKey <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteValueKey <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\khips.sys ZwLoadDriver <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\khips.sys ZwMapViewOfSection <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenFile <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenKey <-- ROOTKIT !!!
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwResumeThread <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetInformationFile <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetValueKey <-- ROOTKIT !!!
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess <-- ROOTKIT !!!
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwWriteFile <-- ROOTKIT !!!


---- Services - GMER 1.0.10 ----

Service [SYSTEM] Aavmker4 <-- ROOTKIT !!!
Service [DISABLED] Abiosdsk <-- ROOTKIT !!!
Service [DISABLED] ACPIEC <-- ROOTKIT !!!
Service [AUTO] aswMon2 <-- ROOTKIT !!!
Service [MANUAL] aswRdr <-- ROOTKIT !!!
Service [SYSTEM] aswTdi <-- ROOTKIT !!!
Service [DISABLED] Atdisk <-- ROOTKIT !!!
Service [SYSTEM] Beep <-- ROOTKIT !!!
Service [MANUAL] bvrp_pci <-- ROOTKIT !!!
Service [DISABLED] cbidf2k <-- ROOTKIT !!!
Service [SYSTEM] Cdaudio <-- ROOTKIT !!!
Service [DISABLED] Cdfs <-- ROOTKIT !!!
Service [SYSTEM] Changer <-- ROOTKIT !!!
Service C:\Programmi\ewido anti-spyware 4.0\guard.sys [SYSTEM] ewido anti-spyware 4.0 driver <-- ROOTKIT !!!
Service [DISABLED] Fastfat <-- ROOTKIT !!!
Service [SYSTEM] Fips <-- ROOTKIT !!!
Service [SYSTEM] Fs_Rec <-- ROOTKIT !!!
Service [SYSTEM] i2omgmt <-- ROOTKIT !!!
Service [MANUAL] kbeepm <-- ROOTKIT !!!
Service [BOOT] KSecDD <-- ROOTKIT !!!
Service [SYSTEM] lbrtfdc <-- ROOTKIT !!!
Service [SYSTEM] mnmdd <-- ROOTKIT !!!
Service [MANUAL] Modem <-- ROOTKIT !!!
Service [BOOT] MountMgr <-- ROOTKIT !!!
Service [SYSTEM] Msfs <-- ROOTKIT !!!
Service [BOOT] Mup <-- ROOTKIT !!!
Service [BOOT] NDIS <-- ROOTKIT !!!
Service [MANUAL] NDProxy <-- ROOTKIT !!!
Service [SYSTEM] Npfs <-- ROOTKIT !!!
Service [DISABLED] Ntfs <-- ROOTKIT !!!
Service [SYSTEM] Null <-- ROOTKIT !!!
Service [BOOT] PartMgr <-- ROOTKIT !!!
Service [AUTO] ParVdm <-- ROOTKIT !!!
Service [SYSTEM] PCIDump <-- ROOTKIT !!!
Service [DISABLED] Pcmcia <-- ROOTKIT !!!
Service [MANUAL] PDCOMP <-- ROOTKIT !!!
Service [MANUAL] PDFRAME <-- ROOTKIT !!!
Service [MANUAL] PDRELI <-- ROOTKIT !!!
Service [MANUAL] PDRFRAME <-- ROOTKIT !!!
Service [MANUAL] RDPWD <-- ROOTKIT !!!
Service [DISABLED] RemoteRegistry <-- ROOTKIT !!!
Service [MANUAL] SCardDrv <-- ROOTKIT !!!
Service [SYSTEM] Sfloppy <-- ROOTKIT !!!
Service [DISABLED] Simbad <-- ROOTKIT !!!
Service [MANUAL] TDPIPE <-- ROOTKIT !!!
Service [MANUAL] TDTCP <-- ROOTKIT !!!
Service [DISABLED] TlntSvr <-- ROOTKIT !!!
Service [MANUAL] TSP <-- ROOTKIT !!!
Service [DISABLED] Udfs <-- ROOTKIT !!!
Service [MANUAL] uploadmgr <-- ROOTKIT !!!
Service [BOOT] VolSnap <-- ROOTKIT !!!
Service [MANUAL] WDICA <-- ROOTKIT !!!
Service [MANUAL] Winsock <-- ROOTKIT !!!
Service [MANUAL] Wmi <-- ROOTKIT !!!

---- EOF - GMER 1.0.10 ----

[Yakkuz]

Effettivamente o stai impestato o il programma ha qualche problema...mi sembra poi strano che ti becchi il rootkit pure nel guard.sys di ewido...però tutto può essere...caso mai prova a fare uno scan con

RootkitRevealer che trovi nelle pagine di http://www.sysinternals.com/

E vedi se i risultati della scansione sono in qualche modo comparabili e trovano qualche riscontro...anche se io GMer nn l'ho mai sentito e mi puzza nn poco...

[davisurf]

Quote:

Originariamente inviato da Yakkuz

Effettivamente o stai impestato o il programma ha qualche problema...mi sembra poi strano che ti becchi il rootkit pure nel guard.sys di ewido...però tutto può essere...caso mai prova a fare uno scan con

RootkitRevealer che trovi nelle pagine di http://www.sysinternals.com/

E vedi se i risultati della scansione sono in qualche modo comparabili e trovano qualche riscontro...anche se io GMer nn l'ho mai sentito e mi puzza nn poco...

ciao yakkuz

RootkitRevealer mi da le solite cose

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 25/09/2006 15.06 36 bytes Hidden from Windows API.
C:\Documents and Settings\LocalService\ntuser.dat.LOG:KAVICHS 25/09/2006 15.06 36 bytes Hidden from Windows API.
C:\Programmi\Alwil Software\Avast4\DATA\clnr0.dll 24/08/2006 1.17 378.55 KB Hidden from Windows API.
C:\Programmi\Alwil Software\Avast4\DATA\dllcc0.dat 24/08/2006 1.17 160.27 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\CATDB:KAVICHS 25/09/2006 17.17 68 bytes Hidden from Windows API.
C:\WINDOWS\SYSTEM32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATDB:KAVICHS 25/09/2006 17.17 68 bytes Hidden from Windows API.
C:\WINDOWS\Temp\Perflib_Perfdata_52c.dat 24/08/2006 1.35 16.00 KB Hidden from Windows API.

mi pare niente di cattivo, BlackLight non rileva niente mentre Sophos Anti-Rootkit mi da questo:

Warning: Failed to flush drive \\.\C:. Registry scan may produce invalid results.
Impossibile accedere al file. Il file è utilizzato da un altro processo.
Area: Local hard drives
Description: Unknown hidden file
Location: C:\WINDOWS\Temp\Perflib_Perfdata_52c.dat
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

[bReAkDoWn]

Quote:

Originariamente inviato da davisurf

salve a tutti, è affidabile gmer per rilevare rootkit?

questo il report, ho qualche dubbio:

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-25 12:25:41
Windows 5.1.2600 Service Pack 2



---- EOF - GMER 1.0.10 ----

E' utile, però va interpretato, altrimenti i risultati possono essere fuorvianti. Nel tuo caso i falsi positivi sono dovuti soprattuto al Kerio Firewall e ad ewido.

[davisurf]

Quote:

Originariamente inviato da bReAkDoWn

E' utile, però va interpretato, altrimenti i risultati possono essere fuorvianti. Nel tuo caso i falsi positivi sono dovuti soprattuto al Kerio Firewall e ad ewido.

immaginavo, ho scaricato l'ultima versione e non mi segnala niente.

grazie a tutti. ciao