| Autore |
 Discussione  |
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
 Inserito il - 24/04/2009 : 11:17:06
|
Starting search for hidden objects.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oopm02.00.00.01pro
[INFO] The registry entry is invisible.
'591965' objects were checked, '1' hidden objects were found.
questo è il risultato di avira alla ricerca di rootkit...
cosa devo fare per capire se è un falso positivo? provato a canellare la chiave con avenger ma non ha trovato la chiave.... ma avira la trova... bo che dite?
anche gmer lo vede htt*://f.imagehost.org/0973/rootkit.jpg (da gmer ho modificato con stringhe casuali il valore data)
|
Modificato da - death in Data 24/04/2009 18:21:08
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/04/2009 : 18:20:54
|
Buona sera, prima di tutto solo una nota di colore, quando aprite una discussione posizionatela nella sezione corretta del forum, questa la sposto io in computer virus, tornando al rootkit o presunto tale, avira lo segnala come oggetto nascosto non come rootkit, hai per caso daemon tools o alchol montati su quel pc?
In ogni caso esegui questa scansione e vediamo se risulta qualcosa:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum |
 |
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 24/04/2009 : 22:25:03
|
Per prima cosa mi scuso per il fatto della sezione... seconda cosa ti ammiro molto per la tua pazienza... si ho daemon installato
allora anche se non si doveva fare ho deciso di modificare la sezione data della voce sospetta in regedit... per disabilitare un eventuale rootkit... guarda
htt*://img7.imageshack.us/img7/4535/rootkit.jpg
esiste un modificatore di registro live? tipo una live di ubuntu?
risultato malwarebytes pulito
htt*://wikisend[.com]/download/497280/mbam-log-2009-04-24 (23-59-20).txt
ho rivuoluzionato la mia sicurezza provando Kaspersky Internet Security 2009 e togliendo avira...
ora che faccio cosa pensi? intanto quella chiave c'è e non si elimina... mmm
grazie
|
Modificato da - volley_3 in data 25/04/2009 00:26:58 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/04/2009 : 10:16:01
|
| Buon giorno, credo che non sia nulla di infettivo, fai la scansione con kaspersky, scaduti i 30 giorni di prova reinstalla Avira, rifai la scansione con gmer e mandami il link dell'upload sul web in privato con un messaggio, lasciami la chiave intera per cortesia senza toccare nulla. |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 25/04/2009 : 13:12:41
|
questo è il log di gmer
htt*://wikisend[.com]/download/932284/gmer.log
l'ultima chiave è quella diciamo sospetta ... purtroppo gia l'ho modificata
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System OOPM02.00.00.01PRO altf4hamo
ma il problema è che solo gmer vede quella chiave nascosta... da regedit non si vede... faccio delle scansioni in modalità provvisoria?
anche norman malware non trova nulla
ho vista originale con tutti gli update |
Modificato da - volley_3 in data 25/04/2009 13:14:10 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/04/2009 : 16:50:00
|
| Buona sera, continuo a sostenere che si tratta di una chiave riferita ad un file nascosto e non ad un rootkit, avira te l'varebbe trovato subito anche prima di gmer, quindi lascia tutto tranquillo così come è, se anche kaspersky non segnala nulla vuol dire che il pc è pulito. |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 25/04/2009 : 17:39:51
|
| kaspersky con scansione completa nulla di rilevante... ok grazie mi rifarò sentire se ci sono novità |
Modificato da - volley_3 in data 25/04/2009 19:53:02 |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 26/04/2009 : 11:19:56
|
| salve, stavo pensando... visto che avenger non riesce a rimuovere la chiave... in teoria come potrei fare se la volessi cancellare? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/04/2009 : 11:44:43
|
| Buon giorno..ogni tanto mi chiedo ma le rogne te le cerchi? hai modificato i valori di quella chiave senza neppure sapere se era di sistema o meno e ora vuoi pure rimuoverla? Lascia le cose come stanno per cortesia. |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 26/04/2009 : 12:30:04
|
| sicuro tu hai perfettamente ragione... ma ci sarà pur un modo di rimiovere una chiave così bloccata e allo stesso tempo hidden? |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 27/04/2009 : 17:46:54
|
allora ecco il log di combofix
htt*://wikisend[.com]/download/443282/combofix.txt
cosa ne pensi? possibile che non si riesca a cancellare una chaive di registro?
cmq avenger non funge |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/04/2009 : 20:27:59
|
| Buona sera, sarà che sono stanco ma io la chiave nel report di combofix non la vedo, in compenso ti suggerirei di vedere il 2° e 3° file (i primi del listato) che combofix ti ha eliminato...adesso spero ti funzionino gli aggiornamenti di windows...ti sei mai chiesto come mai faccio usare combofix solo in casi estremi? altrimenti potrei starmene in panciolle invece di impazzire, non credi? |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 27/04/2009 : 20:47:29
|
|
certo la chiave non si vede... perchè come data c'è il valore nullo... però gmer me la segnala come hidden e da regedit normale mi dice chiave non accesibile appena ci clicco su... ed avenger non riesce ad eliminarla... qualcosa significherà! non pensi? per i file di cfix nessun problema... |
|
|
| |
Discussione |
|
rootkit oopm02.00.00.01pro
Forum Bloccato
