MegaLab.it

Faccio per la prima volta il controllo anti Rootkit usando Sophos Anti-Rootkit 1.1
Alla fine della scansione mi segnala cinque file (infetti? pericolosi? boh!).
Ecco i dettagli:

Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40
Removable: No
Notes: (no more detail available)


Area: Windows registry
Description: Hidden registry value
Location: \HKEY_USERS\S-1-5-21-1935655697-1123561945-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\1\0\0\1\0\3
Removable: No
Notes: (type 3, length 54) "4 1 G4\xedH\x10 Word \x03 \x04 \xef\xbe\xf42\x1dKG4!W\x14 W o r d \x14 "

Area: Windows registry
Description: Hidden registry value
Location: \HKEY_USERS\S-1-5-21-1935655697-1123561945-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\1\0\0\1\0\1\0
Removable: No
Notes: (type 3, length 74) "H 1 K3\x8d\x90\x11 QUICKL~1 0 \x03 \x04 \xef\xbee/\xdd\x84V3\xc0<\x14 Q u i c k L a u n c h \x18 " ... "h \x18 "

Area: Windows registry
Description: Hidden registry key
Location: \HKEY_USERS\S-1-5-21-1935655697-1123561945-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\1\0\0\1\0\1\0
Removable: No
Notes: (no more detail available)

Area: Windows registry
Description: Hidden registry key
Location: \HKEY_USERS\S-1-5-21-1935655697-1123561945-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\1\0\0\1\0\3
Removable: No
Notes: (no more detail available)

E adesso cosa devo fare?

Grazie!

Ci sono degli altri antirootkit
http://www.MegaLab.it/forum/viewtopic.p ... 028#193028
se vuoi provarne altri e confrontare i risultati.

La prima voce dovrebbe riferirsi a un driver di daemon tools (lo usi?), le altre a personalizzazioni delle cartelle, almeno la zona di registro è quella.
Sono pericolose?
Francamente non ho idea, i rootkit sono ancora abbastanza un mistero.

In passato qualcosa di simile a daemon tools avevo installatto, boh?
Dietro consiglio di amici ho ripulito la cache e tolto la connessione ADSL.
Sophos Anti-Rootkit mi ha mantenuto
Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40
Removable: No
Notes: (no more detail available)

Usando Tootkit-Revealer mi segnala 3 chiavi di registro e 11 files con queste diciture:
"Data mismatch between Windows API and raw hive data"
"Hidden from Windows API"
"Visible in Windows API, but not in MFT or directory index

a me' segnala anche filezilla... che si fa'? si elimina?

angy65 ha scritto:che si fa'? si elimina?

Io rimango sempre del parere che questi programmi devono essere utilizzati solo ed esclusivamente nel caso si abbiano i problemi con il computer.
Tu li hai? Hai i problemi con la connessione? Ti va lento il pc?
No?... Allora prendi questo programma, lo chiudi sensa eliminare nulla e non lo apri più se non hai un reale bisogno.
Il seguire ciecamente la moda di utilizzare un programma di qui si conosce poco o nulla può portare agli errori irreversibili.

Amantide ha scritto:

angy65 ha scritto:che si fa'? si elimina?

Io rimango sempre del parere che questi programmi devono essere utilizzati solo ed esclusivamente nel caso si abbiano i problemi con il computer.
Tu li hai? Hai i problemi con la connessione? Ti va lento il pc?
No?... Allora prendi questo programma, lo chiudi sensa eliminare nulla e non lo apri più se non hai un reale bisogno.
Il seguire ciecamente la moda di utilizzare un programma di qui si conosce poco o nulla può portare agli errori irreversibili.

infatti ieri sera poi è partito il gran formattone

angy65 ha scritto:infatti ieri sera poi è partito il gran formattone

Spero che la prossima volta terrai a bada la tua curiosità di usare i programmi sconosciuti e potenzialmente pericolosi.

Amantide ha scritto:

angy65 ha scritto:infatti ieri sera poi è partito il gran formattone

Spero che la prossima volta terrai a bada la tua curiosità di usare i programmi sconosciuti e potenzialmente pericolosi.