|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
26-12-2005, 09.45.58 | #16 |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Non è che siano chiavi nel registro?
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
26-12-2005, 15.28.51 | #17 | |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Quota:
CIAO CIAO
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) |
|
26-12-2005, 15.38.14 | #18 |
Gold Member
Registrato: 13-08-2003
Messaggi: 2.605
|
Allora, se non riesci a vedere i file con F-Secure e lui te li trova ad ogni scansione, benvenuto nel mondo dei Rootkit.
Un qualche programma sta facendo in modo che Windows non visualizzi quei file. In pratica... sei fregato. Per rimuoverli puoi provare con BartPE, crearti un cd di avvio e esaminare con quello i dischi e rimuoverli a mano. Se anche da BartPE non li vedi forse è Back-Light che sta dando i numeri. Facci sapere!
___________________________________
-- Tommaso, Programmatore R&D Ex-Microsoft Student Partner - Università degli Studi di Padova (non si può essere studenti tutta una vita) Ex-prof (non si può essere precari tutta una vita) "Non li fanno più i virus di una volta" |
26-12-2005, 16.24.15 | #19 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Ciao, ho fatto una scansione con Rootkit Revealer della Sysinternals e ha trovato le seguenti cose ( mi indica pura da cosa sono nascosti i file):
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE 1126B64A90E8365B85CFCF6\ProductName (Data mismatch between Windows API and raw hive data.) --- HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 26/12/2005 15.08 80 bytes (Data mismatch between Windows API and raw hive data.) --- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName (Data mismatch between Windows API and raw hive data.) --- HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config \jdgg40 (Hidden from Windows API.) --- C:\Documents and Settings\Leonard\Impostazioni locali\Temporary Internet Files\Content.IE5\89AR8XIB\showthread[2].htm (Visible in Windows API, directory index, but not in MFT.) --- C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf (Hidden from Windows API.) Esclusi gli ultimi due mi mi giungono nuovi...i primi 4 potrebbero essere i 4 file che ho scoperto con l'altro rilevatore di rootkit? Come procedo? CIAO
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) |
26-12-2005, 16.28.03 | #20 |
Gold Member
Registrato: 13-08-2003
Messaggi: 2.605
|
A me questo log sembra un log pulito.
Ci sono sempre dei file che sono invisibili da Windows, ma non mi preoccuperei del prefetch del CMD. Cmq rifai lo scan con FSecureBackLight... non possiamo confrontare due prodotti diversi.
___________________________________
-- Tommaso, Programmatore R&D Ex-Microsoft Student Partner - Università degli Studi di Padova (non si può essere studenti tutta una vita) Ex-prof (non si può essere precari tutta una vita) "Non li fanno più i virus di una volta" |
26-12-2005, 16.41.29 | #21 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Il primo (cltest.exe) forse non è "pericoloso"...è una componente di PowerDVD...gli altri?! Come posso procere? in modalità provvisoria ho la speranza di vederli?
Ho dato un'occhiata a BartPE, ma non ho capito come si usa(ora provo a studiarlo meglio) Ciao e grazie 12/26/05 15:42:15 [Info]: BlackLight Engine 1.0.30 initialized 12/26/05 15:42:15 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/26/05 15:42:15 [Note]: 7019 4 12/26/05 15:42:15 [Note]: 7005 0 12/26/05 15:42:16 [Note]: 7006 0 12/26/05 15:42:16 [Note]: 7011 236 12/26/05 15:42:17 [Note]: FSRAW library version 1.7.1014 12/26/05 15:42:27 [Info]: Hidden file: C:\Programmi\CyberLink\PowerDVD\cltest.exe 12/26/05 15:42:27 [Note]: 10002 1 12/26/05 15:42:35 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 12/26/05 15:42:35 [Note]: 10002 1 12/26/05 15:42:36 [Info]: Hidden file: C:\WINDOWS\system32\cskzn.exe 12/26/05 15:42:36 [Note]: 7002 32 12/26/05 15:42:36 [Note]: 7003 1 12/26/05 15:42:36 [Note]: 10002 1 12/26/05 15:42:37 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe 12/26/05 15:42:37 [Note]: 10002 1 12/26/05 15:42:46 [Note]: 7007 0
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) |
26-12-2005, 16.49.54 | #22 |
Gold Member
Registrato: 13-08-2003
Messaggi: 2.605
|
Allora per ognuno di questi ferifica se riesci a vederli dentro Explorer.
per esempio wbemtest non dovrebbe essere nocivo... cltest non lo conosco perchè non conosco PowerDVD. cszkn per esempio non è sicuramente nulla di buono e neppure favset. Se questi ultimi due non li vedi da dentro Esplora Risorse probabilmente li sta nascondeno un rootkit. Per rimuoverli l'unica è usare un'altra installazione di Windows SANA BartPE è il modo più veloce per crearne una... semplicemente ti crea un CD avviabile con una versione Live di Windows. Devi seguire le istruzioni non è complicato.
___________________________________
-- Tommaso, Programmatore R&D Ex-Microsoft Student Partner - Università degli Studi di Padova (non si può essere studenti tutta una vita) Ex-prof (non si può essere precari tutta una vita) "Non li fanno più i virus di una volta" |
27-12-2005, 16.27.15 | #23 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Ciao, conosci il software UnHackMe?
http://safecomputing.umn.edu/guides/scan_unhackme.html Ho fatto una scansione e risulta questa chiave: KEY --- SOURCE HackerDefender100 --- \SYSTEM\CurrentControlSet\Services Mi Viene questa schermata: CIAO
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 27-12-2005 alle ore 16.36.08 |
27-12-2005, 17.09.20 | #24 | |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Quota:
E' il Check me now che conta e fa la scansione.
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
|
27-12-2005, 18.56.13 | #25 |
Hero Member
Registrato: 12-11-2004
Messaggi: 639
|
Sono un vero idiota... Scusa... Comunque: la scansione da esito positivo ma mi lascia perplesso la scansione stessa, fatta in circa 2 secondi.
CIAO CIAO
___________________________________
"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 27-12-2005 alle ore 20.35.54 |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
sono nuovo | Motif | Chiacchiere in libertà | 28 | 01-04-2006 18.13.58 |
Mi è scomparso il nome utente nei processi del task Manager: Mi aiutate? | Mike73 | Windows 7/Vista/XP/ 2003 | 3 | 24-08-2005 18.53.30 |
Task Manager non rimane aperto!!! | Tobia | Windows 9x/Me/NT4/2000 | 0 | 07-09-2004 11.43.07 |
Le migliori domande realmente spedite da assidue lettrici alla rubriche ... | elbarto | Chiacchiere in libertà | 44 | 06-11-2003 22.24.57 |
Task Manager disabilitatooooo | Peppe D | Windows 7/Vista/XP/ 2003 | 3 | 01-09-2003 21.31.18 |