| Autore |
 Discussione  |
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 02/09/2008 : 18:39:33
|
Un kootkit nell'SP1 di Vista mi pare leggermente assurdo, non che sia amante della M$ (al contrario..), ma non penso si spingano sino li, il SP1 lo hai scaricato come upgrade dal sito della M$ o da un altro posto? nel secondo caso potrebbe benissimo essere stato adulterato, è l'unica idea sensata che mi viene in mente..
Postaci un pò i link ai casi che citi, vediamo se il problema è identico. |
 |
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 02/09/2008 : 21:41:54
|
| tutto microsof originale tutte e due le volte con windows update.... ho una licenza originale e registrata di windows vista... ripeto non sono l'unico con questo problema... come posso fare? mi autoconvinco che sia un falso positivo? |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 03/09/2008 : 06:56:57
|
Mica ai installato Daemon Tools? Se si è probabilmente lui che ti crea quel falso positivo, per sicurezza comunque fai una scansione con Sophos anti rootkit, vediamo se esce qualcosa.
Attenzione, se ai Daemon Tools installato non lo disinstallare, mi pare che alcuni abbiano avuto grane togliendolo, meglio lasciarlo sul PC e disattivarlo. |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 03/09/2008 : 14:03:25
|
ho scansionato con gmer mi da come risultato che ha trovato questo rootkit nei servizi
c:\users\utente\appdata\local\temp
l'ho disabilitato e riscansionando non c'è più... ora riavvio e riprovo
il rootkit trovato avg è (hidden driver)
c:\windows\system32\drivers\amr6yxok.sys
con gmer quel file nella linguetta rootkit-malware lo trova nelle seguenti cose
Device \Driver\amr6yxok \Device\Scsi\amr6yxok1 8544D1F8
Device \Driver\amr6yxok \Device\Scsi\amr6yxok1Port5Path0Target0Lun0 8544D1F8
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 4675C73B
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] E8000000
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortCompleteRequest] 57EC4D89
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 488BEA4D
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortDeviceStateChange] 8D076A50
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortGetDeviceBase] 48C08300
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortGetParentBusType] 00006850
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 896602C1
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortGetScatterGatherList] 8DC80320
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortGetUnCachedExtension] [8C341FBC] \SystemRoot\System32\Drivers\amr6yxok.SYS (ATAPI IDE Miniport Driver/Microsoft Corporation)
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortInitialize] 00009A88
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortMoveMemory] 01F045C7
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortNotification] 24488B66
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 8D526A8C
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortReadPortUchar] 57500845
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortReadPortUshort] 341FC8A1
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 0001E4E4
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortRequestCallback] 458DB002
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortStallExecution] F0458D57
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 35FF50E8
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortWritePortUchar] E84D8966
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[ataport.SYS!AtaPortWritePortUlong] 83E84D8B
IAT \SystemRoot\System32\Drivers\amr6yxok.SYS[NTOSKRNL.exe!KeTickCount] 840FF87D
---- Kernel code sections - GMER 1.0.14 ----
.text amr6yxok.SYS 8C31C000 22 Bytes [ 26, C2, C0, 81, 10, C1, C0, ... ]
.text amr6yxok.SYS 8C31C017 181 Bytes [ 00, 32, 97, B3, 87, 3D, 95, ... ]
.text amr6yxok.SYS 8C31C0CE 10 Bytes [ 00, 00, 00, 00, 00, 00, 66, ... ]
.text amr6yxok.SYS 8C31C0DA 12 Bytes [ 00, 00, 02, 00, 00, 00, 25, ... ]
.text amr6yxok.SYS 8C31C0E7 714 Bytes [ 00, F0, 0E, 00, 00, 00, 00, ... ]
htt*://rafb.net/p/EwYN5Z22.html
che ne pensate? |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 03/09/2008 : 14:53:19
|
a7cja0ucATAPI IDE Miniport Driver (Verified) Microsoft Windows c:\windows\system32\drivers\a7cja0uc.sys
riavviando il rootkit di avg è quello e gmer non mi da più problemi di rootkit... ke ne pensate? |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 03/09/2008 : 17:53:26
|
Che ne pensiamo? Che dovresti andare un pò a pescare, altro che rootkit  , la soluzione è disattivare DaemonTools ed attivarlo solo se necessario, visto che abbiamo trovato il colpevole segnalalo anche di là... |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 03/09/2008 : 18:23:52
|
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN 02/09/2008 11.03 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\CertMapping 02/09/2008 11.07 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client 02/11/2006 14.54 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener 02/11/2006 14.54 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service 02/11/2006 14.54 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\WinRS 02/09/2008 11.07 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\WinRS\CustomRemoteShell 02/09/2008 11.07 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009 02/11/2006 12.33 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\010 06/11/2006 3.52 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6C041448-C69A-4D8B-A774-4F3948997407}\DynamicInfo 03/09/2008 17.51 28 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 02/09/2008 0.33 0 bytes Access is denied.
|
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 03/09/2008 : 18:25:56
|
quindi mi vuoi dire che daemontools installa un rootkit riconsociuto da avg che cambia nome ad ogni riavvio e che non è possibile eliminare?
daemontools è disattivato...
quindi non penso sia quello |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
 Inserito il - 03/09/2008 : 21:08:40
|
Citazione:
Messaggio inserito da volley_3
**************
a7cja0ucATAPI IDE Miniport Driver (Verified) Microsoft Windows c:\windows\system32\drivers\a7cja0uc.sys
riavviando il rootkit di avg è quello e gmer non mi da più problemi di rootkit... ke ne pensate?
**************
ho scansionato con gmer mi da come risultato che ha trovato questo rootkit nei servizi
c:\users\utente\appdata\local\temp
l'ho disabilitato e riscansionando non c'è più... ora riavvio e riprovo
il rootkit trovato avg è (hidden driver)
c:\windows\system32\drivers\amr6yxok.sys
*************
quindi mi vuoi dire che daemontools installa un rootkit riconsociuto da avg che cambia nome ad ogni riavvio e che non è possibile eliminare?
daemontools è disattivato...
quindi non penso sia quello
Mettiti almeno daccordo con te stesso, o c'è o non c'è, non è un fantasma, Daemon Tools crea il falso positivo... |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 03/09/2008 : 22:29:41
|
| si l'ho installato.... ma non è nella barra in basso a destra... l'ho tolto dalla barra di avvio veloce... è uguale? |
Modificato da - volley_3 in data 03/09/2008 22:34:00 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 03/09/2008 : 23:23:51
|
No, sei tu che sei differente 
Disattivando il programma il driver creato da Daemon Tools resta, ma e un falso positivo, non so come spiegarlo in altre parole, a gesti non posso esprimerli qui |
Modificato da - Yves in data 03/09/2008 23:28:05 |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 03/09/2008 : 23:30:30
|
aahahaah si si ho capito se sei sicuro al 100%... ma mi spieghi però se è un driver perkè dovrebbe cambaire nome ogni volta ed essere un driver nascosto? e perkè avg lo riconsoce come rootkit? grazie
|
|
|
|
Feibrix
Advanced Member
Città: Ivrea
588 Messaggi |
Inserito il - 03/09/2008 : 23:31:54
|
gh.
semplice Yves, è avg che non sopporta daemon tool :P |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 03/09/2008 : 23:43:40
|
non sono mai sicuro...........................hhhihiihi
la sicurezza non è mai sicura ed è impossibile raggiungerla :) |
|
|
|
Discussione |
|
rootkit danger - Vista sp1
Forum Bloccato
