| Autore |
 Discussione  |
|
Andread
Senior Member
232 Messaggi |
 Inserito il - 29/09/2006 : 19:36:56
|
|
ah! mi sono dimenticato di dirti che virit mi ha trovato una chiave infetta che ha provveduto a eliminare... |
 |
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 30/09/2006 : 12:31:38
|
manca ancora la visualizzazione dei processi.... questa cosa é proprio strana..mi sai dire tutto ciò che hai all'interno della cartella windows..?? e riutilizza il tool symantec disattivando tutti i processi , anche l'av, e disconnesso. |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 30/09/2006 : 14:10:55
|
calma calma:
1)"tool symantec", sarebbe?
2)per av cosa intendi? l'anti virus?
3)vuoi sapere tutto ciò che ho dentro la cartella windows?? cartelle e files vari, ma vuoi i nomi? è piena zeppa!!! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 30/09/2006 : 16:04:25
|
1) htt*://smallbiz.symantec[.com]/security_response/writeup.jsp?docid=2006-092316-4153-99
2) antivirus
3) sì tutto.... |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 30/09/2006 : 18:24:34
|
ho fatto quello che mi hai detto. ecco l'elenco (compresi i files nascosti):
cartelle: $hf_mig$, $MSI31Uninstall_kb89.... (svariate. cambia solo il numero), addins, AppPatch, assembly, config, connectionWizard, cursors, debug, downloaded Program Files, driver Cache, fonts, help, ime, inf, java, media, microsoft.net, minidump, motorola, msagent, msapps, mui, oemDir, offline web pages, pchealth, peerNet, prefetch, provisioning, pss, registration, repair, resources, security, softwareDistributions, srchasst, system, system32, tasks, temp, twain_32, web, winSxS
files o applicazioni: _default, ALCFDRTM,ALCFDRTM.VER, alcrmv, alcupd, ascd_tmp, avrack, bootstat, control, desktop, explorer (icona di un computer, explorer (icona di un acartella con una lente di ingrandimento), gmer, gmer, gmer.dll,hh, isunistall, iun6002, modemLog_...., msdfmap, NeroDigital, notepad, ODBCINST,QTFont.for, QtFont.qfn, regedit, reglocs.old, Rtlrack, schedlgu, set3.tmp, set4.tmp, set8.tmp, sm56hlpr, soundman, st5unst, system, taskman, twain.dll, twain_32.dll, twunk_16, twunk_32, uinst001, vb, vbaddin, vmmreg32.dll, win, windowsShellManifest, windowsUpdate, winhelp, winhlp32, wmprfITA.prx, WMSysPr9.prx
e poi ci sono svariati files immagine (.bmp)
questo dovrebbe essere tutto |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 01/10/2006 : 19:45:50
|
a me sembra tutto normale, ma non mi spiego il perché da hijack non si evidenziano i processi..
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 01/10/2006 : 19:57:27
|
Prova a fare una scansione in cerca di rootkit
disattiva tutti programmi in real time, antivirus. antispy ecc.
disconnesso da internet in mod. normale lancia Rootkitrevelear lo trovi qui:
htt*://[www].sysinternals[.com]/Utilities/RootkitRevealer.html
Ciao. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 01/10/2006 : 20:04:56
|
Citazione:
Messaggio inserito da michal
Prova a fare una scansione in cerca di rootkit
disattiva tutti programmi in real time, antivirus. antispy ecc.
disconnesso da internet in mod. normale lancia Rootkitrevelear lo trovi qui:
htt*://[www].sysinternals[.com]/Utilities/RootkitRevealer.html
Ciao.
dal log di GMER si evidenziano anche i rootkit se ce ne sono...??? e da quello che si evince non ce ne dovrebbero essere, comunque tentar non nuoce... |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 02/10/2006 : 14:42:57
|
il programma mi ha trovato due cose, ecco il log:
htt*://[www].uploadtemple[.com]/view.php/1159792874.txt
cosa devo fare? ....non mastico molto l'inglese
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 02/10/2006 : 20:50:08
|
| a me sembrano processi legittimi, ma magari michal ha più dimestichezza con questo programma.... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/10/2006 : 20:17:55
|
Per Aris
HKLM\S-1-5-21-343818398-1450960922-682003330-1016\RemoteAccess\InternetProfile 29/09/2006 20.09 23 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 02/10/2006 14.33 37.50 KB Hidden from Windows API.
in effetti l'interpretazione non è facile in quanto la guida al programma, venuto a mia conoscenza da qualche mese, non da molti chiarimenti.
Normalmente rileva:
c:\windows\nomefilenascosto.dll la dll nascosta trovata nel log di Rootkirevelear
C:\programmi\altrifile.exe altri file eventualmente trovati
c:\documents and settings\nomeutente eventuale cartella utente trovata
c:\windows\temp cartella di sistema dove si può annidare il virus, si ricrea all'avvio
questi dati vengono inseriti nel programma Avenger, che tu conosci, per l'eliminazione.
nel nostro caso: la dll non c'è, il file .exe non centra (è il prompt dei comandi di xp)
per la prima voce hklm si dovrebbe fare una verifica di codifica in quanto è segnalata una discrepanza tra valori API d'archivio e valori rilevati. Ma non credo che sia indice di rootkit.
Ciao.
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 03/10/2006 : 20:24:46
|
|
grazie.. non si finisce mai d'imparare vero... |
|
|
|
Discussione |
|
|
|
protezione da citofarera
Forum Bloccato
