Mi è scomparso il Task Manager...Sono di nuovo infettato... - Page 2

crazy.cat · 26-12-2005, 08.45.58

non conosco F-Secure Black light e non ancora bene questi rootkit.
Non è che siano chiavi nel registro?

Arthur85 · 26-12-2005, 14.28.51

Quota:

[i]
Non è che siano chiavi nel registro?

bhò...da cosa lo vedo? E se lo sono come li posso eliminare?

CIAO
CIAO

gsmet · 26-12-2005, 14.38.14

Allora, se non riesci a vedere i file con F-Secure e lui te li trova ad ogni scansione, benvenuto nel mondo dei Rootkit.

Un qualche programma sta facendo in modo che Windows non visualizzi quei file. In pratica... sei fregato.

Per rimuoverli puoi provare con BartPE, crearti un cd di avvio e esaminare con quello i dischi e rimuoverli a mano.

Se anche da BartPE non li vedi forse è Back-Light che sta dando i numeri.

Facci sapere!

Arthur85 · 26-12-2005, 15.24.15

Ciao, ho fatto una scansione con Rootkit Revealer della Sysinternals e ha trovato le seguenti cose ( mi indica pura da cosa sono nascosti i file):

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE 1126B64A90E8365B85CFCF6\ProductName

(Data mismatch between Windows API and raw hive data.)

---

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 26/12/2005 15.08 80 bytes

(Data mismatch between Windows API and raw hive data.)

---

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName

(Data mismatch between Windows API and raw hive data.)

---
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config \jdgg40

(Hidden from Windows API.)

---
C:\Documents and Settings\Leonard\Impostazioni locali\Temporary Internet Files\Content.IE5\89AR8XIB\showthread[2].htm

(Visible in Windows API, directory index, but not in MFT.)

---

C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf

(Hidden from Windows API.)

Esclusi gli ultimi due mi mi giungono nuovi...i primi 4 potrebbero essere i 4 file che ho scoperto con l'altro rilevatore di rootkit?

Come procedo?

CIAO

gsmet · 26-12-2005, 15.28.03

A me questo log sembra un log pulito.

Ci sono sempre dei file che sono invisibili da Windows, ma non mi preoccuperei del prefetch del CMD.

Cmq rifai lo scan con FSecureBackLight... non possiamo confrontare due prodotti diversi.

Arthur85 · 26-12-2005, 15.41.29

Il primo (cltest.exe) forse non è "pericoloso"...è una componente di PowerDVD...gli altri?! Come posso procere? in modalità provvisoria ho la speranza di vederli?

Ho dato un'occhiata a BartPE, ma non ho capito come si usa(ora provo a studiarlo meglio)

Ciao e grazie

12/26/05 15:42:15 [Info]: BlackLight Engine 1.0.30 initialized
12/26/05 15:42:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/26/05 15:42:15 [Note]: 7019 4
12/26/05 15:42:15 [Note]: 7005 0
12/26/05 15:42:16 [Note]: 7006 0
12/26/05 15:42:16 [Note]: 7011 236
12/26/05 15:42:17 [Note]: FSRAW library version 1.7.1014
12/26/05 15:42:27 [Info]: Hidden file: C:\Programmi\CyberLink\PowerDVD\cltest.exe
12/26/05 15:42:27 [Note]: 10002 1
12/26/05 15:42:35 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/26/05 15:42:35 [Note]: 10002 1
12/26/05 15:42:36 [Info]: Hidden file: C:\WINDOWS\system32\cskzn.exe
12/26/05 15:42:36 [Note]: 7002 32
12/26/05 15:42:36 [Note]: 7003 1
12/26/05 15:42:36 [Note]: 10002 1
12/26/05 15:42:37 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
12/26/05 15:42:37 [Note]: 10002 1
12/26/05 15:42:46 [Note]: 7007 0

gsmet · 26-12-2005, 15.49.54

Allora per ognuno di questi ferifica se riesci a vederli dentro Explorer.

per esempio wbemtest non dovrebbe essere nocivo... cltest non lo conosco perchè non conosco PowerDVD.

cszkn per esempio non è sicuramente nulla di buono e neppure favset.

Se questi ultimi due non li vedi da dentro Esplora Risorse probabilmente li sta nascondeno un rootkit.

Per rimuoverli l'unica è usare un'altra installazione di Windows SANA

BartPE è il modo più veloce per crearne una... semplicemente ti crea un CD avviabile con una versione Live di Windows. Devi seguire le istruzioni non è complicato.

Arthur85 · 27-12-2005, 15.27.15

Ciao, conosci il software UnHackMe?
http://safecomputing.umn.edu/guides/scan_unhackme.html

Ho fatto una scansione e risulta questa chiave:

KEY --- SOURCE

HackerDefender100 --- \SYSTEM\CurrentControlSet\Services

Mi Viene questa schermata:

CIAO

crazy.cat · 27-12-2005, 16.09.20

Quota:

Originariamente inviato da Arthur85
Ciao, conosci il software UnHackMe?
http://safecomputing.umn.edu/guides/scan_unhackme.html

Premendo il tasto demo mi da gli stessi risultati è solo una dimostrazione di come lavora il pogramma.
E' il Check me now che conta e fa la scansione.

Arthur85 · 27-12-2005, 17.56.13

Sono un vero idiota...

Scusa... Comunque: la scansione da esito positivo ma mi lascia perplesso la scansione stessa, fatta in circa 2 secondi.

CIAO
CIAO

26-12-2005, 08.45.58	#16
crazy.cat Gold Member Top Poster Registrato: 20-08-2002 Loc.: Mestre Messaggi: 3.563	non conosco F-Secure Black light e non ancora bene questi rootkit. Non è che siano chiavi nel registro? ___________________________________ Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.

26-12-2005, 14.38.14	#18
gsmet Gold Member Registrato: 13-08-2003 Messaggi: 2.605	Allora, se non riesci a vedere i file con F-Secure e lui te li trova ad ogni scansione, benvenuto nel mondo dei Rootkit. Un qualche programma sta facendo in modo che Windows non visualizzi quei file. In pratica... sei fregato. Per rimuoverli puoi provare con BartPE, crearti un cd di avvio e esaminare con quello i dischi e rimuoverli a mano. Se anche da BartPE non li vedi forse è Back-Light che sta dando i numeri. Facci sapere! ___________________________________ -- Tommaso, Programmatore R&D Ex-Microsoft Student Partner - Università degli Studi di Padova (non si può essere studenti tutta una vita) Ex-prof (non si può essere precari tutta una vita) "Non li fanno più i virus di una volta"

26-12-2005, 15.24.15	#19
Arthur85 Hero Member Registrato: 12-11-2004 Messaggi: 639	Ciao, ho fatto una scansione con Rootkit Revealer della Sysinternals e ha trovato le seguenti cose ( mi indica pura da cosa sono nascosti i file): HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE 1126B64A90E8365B85CFCF6\ProductName (Data mismatch between Windows API and raw hive data.) --- HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 26/12/2005 15.08 80 bytes (Data mismatch between Windows API and raw hive data.) --- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName (Data mismatch between Windows API and raw hive data.) --- HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config \jdgg40 (Hidden from Windows API.) --- C:\Documents and Settings\Leonard\Impostazioni locali\Temporary Internet Files\Content.IE5\89AR8XIB\showthread[2].htm (Visible in Windows API, directory index, but not in MFT.) --- C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf (Hidden from Windows API.) Esclusi gli ultimi due mi mi giungono nuovi...i primi 4 potrebbero essere i 4 file che ho scoperto con l'altro rilevatore di rootkit? Come procedo? CIAO ___________________________________ "Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)

26-12-2005, 15.28.03	#20
gsmet Gold Member Registrato: 13-08-2003 Messaggi: 2.605	A me questo log sembra un log pulito. Ci sono sempre dei file che sono invisibili da Windows, ma non mi preoccuperei del prefetch del CMD. Cmq rifai lo scan con FSecureBackLight... non possiamo confrontare due prodotti diversi. ___________________________________ -- Tommaso, Programmatore R&D Ex-Microsoft Student Partner - Università degli Studi di Padova (non si può essere studenti tutta una vita) Ex-prof (non si può essere precari tutta una vita) "Non li fanno più i virus di una volta"

26-12-2005, 15.41.29	#21
Arthur85 Hero Member Registrato: 12-11-2004 Messaggi: 639	Il primo (cltest.exe) forse non è "pericoloso"...è una componente di PowerDVD...gli altri?! Come posso procere? in modalità provvisoria ho la speranza di vederli? Ho dato un'occhiata a BartPE, ma non ho capito come si usa(ora provo a studiarlo meglio) Ciao e grazie 12/26/05 15:42:15 [Info]: BlackLight Engine 1.0.30 initialized 12/26/05 15:42:15 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/26/05 15:42:15 [Note]: 7019 4 12/26/05 15:42:15 [Note]: 7005 0 12/26/05 15:42:16 [Note]: 7006 0 12/26/05 15:42:16 [Note]: 7011 236 12/26/05 15:42:17 [Note]: FSRAW library version 1.7.1014 12/26/05 15:42:27 [Info]: Hidden file: C:\Programmi\CyberLink\PowerDVD\cltest.exe 12/26/05 15:42:27 [Note]: 10002 1 12/26/05 15:42:35 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 12/26/05 15:42:35 [Note]: 10002 1 12/26/05 15:42:36 [Info]: Hidden file: C:\WINDOWS\system32\cskzn.exe 12/26/05 15:42:36 [Note]: 7002 32 12/26/05 15:42:36 [Note]: 7003 1 12/26/05 15:42:36 [Note]: 10002 1 12/26/05 15:42:37 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe 12/26/05 15:42:37 [Note]: 10002 1 12/26/05 15:42:46 [Note]: 7007 0 ___________________________________ "Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)

26-12-2005, 15.49.54	#22
gsmet Gold Member Registrato: 13-08-2003 Messaggi: 2.605	Allora per ognuno di questi ferifica se riesci a vederli dentro Explorer. per esempio wbemtest non dovrebbe essere nocivo... cltest non lo conosco perchè non conosco PowerDVD. cszkn per esempio non è sicuramente nulla di buono e neppure favset. Se questi ultimi due non li vedi da dentro Esplora Risorse probabilmente li sta nascondeno un rootkit. Per rimuoverli l'unica è usare un'altra installazione di Windows SANA BartPE è il modo più veloce per crearne una... semplicemente ti crea un CD avviabile con una versione Live di Windows. Devi seguire le istruzioni non è complicato. ___________________________________ -- Tommaso, Programmatore R&D Ex-Microsoft Student Partner - Università degli Studi di Padova (non si può essere studenti tutta una vita) Ex-prof (non si può essere precari tutta una vita) "Non li fanno più i virus di una volta"

27-12-2005, 15.27.15	#23
Arthur85 Hero Member Registrato: 12-11-2004 Messaggi: 639	Ciao, conosci il software UnHackMe? http://safecomputing.umn.edu/guides/scan_unhackme.html Ho fatto una scansione e risulta questa chiave: KEY --- SOURCE HackerDefender100 --- \SYSTEM\CurrentControlSet\Services Mi Viene questa schermata: CIAO ___________________________________ "Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 27-12-2005 alle ore 15.36.08

27-12-2005, 17.56.13	#25
Arthur85 Hero Member Registrato: 12-11-2004 Messaggi: 639	Sono un vero idiota... Scusa... Comunque: la scansione da esito positivo ma mi lascia perplesso la scansione stessa, fatta in circa 2 secondi. CIAO CIAO ___________________________________ "Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 27-12-2005 alle ore 19.35.54

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
sono nuovo	Motif	Chiacchiere in libertà	28	01-04-2006 17.13.58
Mi è scomparso il nome utente nei processi del task Manager: Mi aiutate?	Mike73	Windows 7/Vista/XP/ 2003	3	24-08-2005 17.53.30
Task Manager non rimane aperto!!!	Tobia	Windows 9x/Me/NT4/2000	0	07-09-2004 10.43.07
Le migliori domande realmente spedite da assidue lettrici alla rubriche ...	elbarto	Chiacchiere in libertà	44	06-11-2003 21.24.57
Task Manager disabilitatooooo	Peppe D	Windows 7/Vista/XP/ 2003	3	01-09-2003 20.31.18