www.MegaLab.it

[xalx67]

Questo argomento ha inizio qui - sicurezza/rilevamento-rootkit-t49428.html - e a tutt' oggi non sono riuscito a risolvere. Al momento gmer non mi segnala in rosso nessun processo nascosto quindi non vi posto il log della scansione (anche perché è sempre uguale ai log di inizio discussione). Come sempre la cosa si verifica dopo qualche ora di uso del pc anche se non sò esattamente quanto. Oggi però ho girato nella finestra registry e ho trovato delle voci evidenziate in rosso in molte chiavi e sottochiavi. Visto che in questo programma il rosso non è un colore positivo, devo fare qualche intervento al riguardo?
In allegato il doc in questione

[ste_95]

Cosa contengono quelle due chiavi? In effetti sul mio computer non ci sono...

[xalx67]

Ti invio un altro allegato in cui ho aperto tutte le sottochiavi. Mandarti tutti i valori contenuti nelle chiavi penso che sia un lavoro un po' lungo ma nel caso dimmi se ti serve di vedere altro. Al limite posso creare un punto di ripristino e poi andarle ad eliminare

[ste_95]

Al limite posso creare un punto di ripristino e poi andarle ad eliminare

Mi sembra una buona idea.

[xalx67]

Ok, allora aspetto fino a domani nel caso vi venga in mente altro, procedo con la cancellazione delle chiavi e poi vi informo. Al limite, anche se è una seccatura, posso anche formattare ma quello che mi rode è di non riuscire a capire a cosa è dovuto tutto questo (capire= non ripetere lo stesso errore).
Per ora grazie

[Amantide]

HKEY_LOCAL_MACHINE\SAM contains security information and user permissions and passwords. SAM stands for the Security Access Manager. It is an alias of HKEY_LOCAL_MACHINE\Security\SAM. The best way to make changes to the contents of these keys is to use the Microsoft Management Console within Windows XP. Launch this by choosing Start, right clicking My computer and selecting Manage. Highlight Local Users and Groups and you can edit each user here. Changes made directly to the registry often result in problems with permissions and passwords.

Information about the HKEY_LOCAL_MACHINE\SAM Key

This subtree contains the user and group accounts in the SAM database for the local computer. For a computer that is running NT 4, this subtree also contains security information for the domain. The information contained within the SAM registry key is what appears in the user interface of the User Manager utility, as well as in the lists of users and groups that appear when you make use of the Security menu commands in NT4 explorer.

The SAM key contains information used by the Security Accounts Manager. On machines other than domain controllers this key is used to store local user and group information such as usernames, passwords and other such properties. Various data within this key is both protected and encrypted preventing tools or software from reading information such as passwords.

Although domain controllers don't have local accounts and therefore don't directly use this key it is still used however to store user and group information pertaining to the Directory Service Restore Mode feature within Windows.

During boot time, SAM is loaded below the HKEY_LOCAL_MACHINE placeholder from the file %SYSTEMROOT% \ SYSTEM32 \ CONFIG \ SAM

Typically the HKEY_LOCAL_MACHINE \ SAM key is inaccessible as by default and even an Administrator doesn't have access to browse it. It is however possible to use various tools to either elavate the priviliges of the registry editor to system (such as PSEXEC from Microsoft) or modify the permissions of the key itself granting administrators access. Neither of these are recommended however as modifying data below HKEY_LOCAL_MACHINE \ SAM can prevent you from being able to login and may require a complete system restore.

[xalx67]

Grazie amantide.. peccato che non conosco l' inglese. Proverò a tradurlo