Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Comodo mi segnala un rootkit, forse falso positivo

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » lun mar 07, 2011 12:30 pm

Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\cd042efbbd7f7af1647644e76e06692b
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\bca643cdc5c2726b20d2ecedcc62c59b
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\2c81e34222e8052573023a60d06dd016
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\2582ae41fb52324423be06337561aa48
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\caaeda5fd7a9ed7697d9686d4b818472
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\a4a1bcf2cc2b8bc3716b74b2b4522f5d
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\4d370831d2c43cd13623e232fed27b7b
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\1d68fe701cdea33e477eb204b76f993d
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\1fac81b91d8e3c5aa4b0a51804d844a3
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\f5f62a6129303efb32fbe080bb27835b
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\ThreadingModel
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\fd4e2e1a3940b94dceb5a6a021f2e3c6
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\8a8aec57dd6508a385616fbc86791ec2
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\ThreadingModel

Vi basta questo memo per aiutarmi a capire se ho veramente un rootkit?
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Berga95 » lun mar 07, 2011 12:42 pm

Utilizza Stealth Rootkit Detector.
Lo salvi in C:\, poi apri il prompt dei comandi e scrivi
Codice: Seleziona tutto
C:\mbr.exe -f

Dovrebbe esserci un log in C:\; copialo e incollalo qua [;)]

P.S: Noti problemi con l'utilizzo del computer? (crash, schermate blu, rallentamenti, etc?)
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Uomo_Senza_Sonno » lun mar 07, 2011 12:45 pm

Molto probabilmente si, hai un rootkit. Dopo il controllo con il tool indicato da Berga, riesci a trovare il file che ti segnala Comodo e caricarlo su http://www.virustotal.com per escludere ogni dubbio?
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it


Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » lun mar 07, 2011 1:47 pm

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6000 Disk: MAXTOR_S rev.3.AA -> Harddisk0\DR0 -> \Device\00000066

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


eccolo.
Ieri ho disinstallato avast per provare comodo. Il pc è stato però qualche ora senza antivirus. Appena installato comodo ho lanciato la scansione e sono uscito. Al rientro ho trovato il pc con la schermata blu con questo codice errore: 0x00000050 (0xb6176000, 0x00000000, 0x824836b3, 0x00000000).
Il pc non è lento, non rilevo nulla di anomalo. Ho fatto la scansione con superantispyware e malwarebvtes, rilevati solo cookie.
In attesa di un ulteriore vostro consiglio uso qualche programma specifico per i rootkit.
Grazie dell'aiuto.
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Uomo_Senza_Sonno » lun mar 07, 2011 5:53 pm

Nichi ha scritto:In attesa di un ulteriore vostro consiglio uso qualche programma specifico per i rootkit.

Dai un'occhiata a quest'articolo, nel caso posta il settore 0 e facciamo un controllo. Molto probabilmente é pulito, ma facciamo un controllo di sicurezza. In più, effettua un controllo con un rescue disk non fa mai male.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » lun mar 07, 2011 11:27 pm

1. Ho disinstallato comodo, installato avast - aggiornato - ed ho effettuato la "famosa" scansione all'avvio, risultato nessun rootkit.
2. Creato il rescue disk di avira, risultato scansione tutto ok.
3. avg antirootkit non ha rilevato nulla.
4. prevx 3 nessun rilevamento maligno.
5. trojan remover nessun rilevamento maligno.
6. lanciato gmer ecco il risultato:

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-03-07 23:17:50
Windows 6.0.6000 Harddisk0\DR0 -> \Device\00000073 MAXTOR_S rev.3.AA
Running: 8bjfrx8q.exe; Driver: C:\Users\one\AppData\Local\Temp\awrdapog.sys


---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x8D2B98DE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice \Driver\tdx \Device\Tcp aswFW.SYS (avast! Filtering TDI driver/AVAST Software)
AttachedDevice \Driver\tdx \Device\Udp aswFW.SYS (avast! Filtering TDI driver/AVAST Software)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 pxkbf.sys (Prevx Keyboard Security/Prevx)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 pxkbf.sys (Prevx Keyboard Security/Prevx)

---- EOF - GMER 1.0.15 ----

gmer non mi pare segnali cose strane.

Uomo_Senza_Sonno mi consigli di fare lo stesso la procedura consigliata in quell'articolo, mi sembra complicata.
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Uomo_Senza_Sonno » mar mar 08, 2011 1:06 am

Non era necessaria tutta la procedura, era sufficiente vedere solo lo screen del settore 0, ma visto che anche con il rescue non è stato trovato nulla si può stare tranquilli.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 12:25 pm

Stamattina un'altra schermata blu con questo errore 0x00000050 (0xc943e00c, 0x00000000, 0x82454333, 0x00000000).

Ho fatto la scansione con trend micro rootkit ecco il log

+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 3.60.0.1016
| Computer Name: PC-ONE
| User Name: one
+----------------------------------------------------


--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Recording\Restricted
Root : 0
SubKey : Restricted
ValueName : ccc
Data : 48 E7 E 92 58 B3 13 E6 ...
ValueType : 3
AccessType: 0
FullLength: 0x66
DataSize : 0xc8
1 hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

--== Service Win32 API Hook List ==--
[HOOKED_SERVICE_API]:
Service API : ZwAddBootEntry
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268b27c
CurrentHandler : 0x8d5b49ca
ServiceNumber : 0x9
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwAllocateVirtualMemory
Image Path : C:\Windows\System32\Drivers\aswSP.SYS
OriginalHandler : 0x825d54af
CurrentHandler : 0x8dac1a68
ServiceNumber : 0x12
ModuleName : aswSP.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwAssignProcessToJobObject
Image Path : C:\Windows\System32\drivers\pxrts.sys
OriginalHandler : 0x8261f82b
CurrentHandler : 0x8c604af0
ServiceNumber : 0x2a
ModuleName : pxrts.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateEvent
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x82687388
CurrentHandler : 0x8d5b6eac
ServiceNumber : 0x3a
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateEventPair
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268fd0f
CurrentHandler : 0x8d5b6f04
ServiceNumber : 0x3b
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateIoCompletion
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8258b454
CurrentHandler : 0x8d5b701a
ServiceNumber : 0x3d
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateMutant
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8269018a
CurrentHandler : 0x8d5b6e02
ServiceNumber : 0x43
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateSection
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x825d7893
CurrentHandler : 0x8d5b6f54
ServiceNumber : 0x4b
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateSemaphore
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268839b
CurrentHandler : 0x8d5b6e56
ServiceNumber : 0x4c
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateThread
Image Path : C:\Windows\System32\drivers\pxrts.sys
OriginalHandler : 0x8261217b
CurrentHandler : 0x8c604b40
ServiceNumber : 0x4e
ModuleName : pxrts.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateTimer
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268f96f
CurrentHandler : 0x8d5b6fc8
ServiceNumber : 0x4f
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDeleteBootEntry
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268b2ad
CurrentHandler : 0x8d5b49ee
ServiceNumber : 0x78
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDuplicateObject
Image Path : C:\Windows\System32\Drivers\aswSP.SYS
OriginalHandler : 0x825f2157
CurrentHandler : 0x8dac9326
ServiceNumber : 0x81
ModuleName : aswSP.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwFreeVirtualMemory
Image Path : C:\Windows\System32\Drivers\aswSP.SYS
OriginalHandler : 0x824bec63
CurrentHandler : 0x8dac1b18
ServiceNumber : 0x93
ModuleName : aswSP.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwLoadDriver
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8259852a
CurrentHandler : 0x8d5b47b8
ServiceNumber : 0xa5
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwModifyBootEntry
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268b47f
CurrentHandler : 0x8d5b4a12
ServiceNumber : 0xb2
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwNotifyChangeKey
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8253870e
CurrentHandler : 0x8d5b7412
ServiceNumber : 0xb5
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwNotifyChangeMultipleKeys
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x82538749
CurrentHandler : 0x8d5b54aa
ServiceNumber : 0xb6
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenEvent
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x826874b1
CurrentHandler : 0x8d5b6edc
ServiceNumber : 0xb8
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenEventPair
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268fe47
CurrentHandler : 0x8d5b6f2c
ServiceNumber : 0xb9
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenIoCompletion
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8258b563
CurrentHandler : 0x8d5b7044
ServiceNumber : 0xbb
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenMutant
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8269028f
CurrentHandler : 0x8d5b6e2e
ServiceNumber : 0xbf
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenProcess
Image Path : C:\Windows\System32\Drivers\aswSP.SYS
OriginalHandler : 0x82613aa7
CurrentHandler : 0x8dac9262
ServiceNumber : 0xc2
ModuleName : aswSP.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenSection
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x825da71b
CurrentHandler : 0x8d5b6f94
ServiceNumber : 0xc5
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenSemaphore
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x826884c5
CurrentHandler : 0x8d5b6e84
ServiceNumber : 0xc6
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenThread
Image Path : C:\Windows\System32\Drivers\aswSP.SYS
OriginalHandler : 0x82613e07
CurrentHandler : 0x8dac92c8
ServiceNumber : 0xc9
ModuleName : aswSP.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenTimer
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268fabe
CurrentHandler : 0x8d5b6ff2
ServiceNumber : 0xcc
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwProtectVirtualMemory
Image Path : C:\Windows\System32\drivers\pxrts.sys
OriginalHandler : 0x825e890b
CurrentHandler : 0x8c604be0
ServiceNumber : 0xd2
ModuleName : pxrts.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwQueryObject
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x825f7dc1
CurrentHandler : 0x8d5b5370
ServiceNumber : 0xed
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetBootEntryOrder
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268bba2
CurrentHandler : 0x8d5b4a36
ServiceNumber : 0x123
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetBootOptions
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8268c0a4
CurrentHandler : 0x8d5b4a5a
ServiceNumber : 0x124
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetContextThread
Image Path : C:\Windows\System32\drivers\pxrts.sys
OriginalHandler : 0x8261aebb
CurrentHandler : 0x8c604aa0
ServiceNumber : 0x125
ModuleName : pxrts.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetSystemInformation
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x82682ca3
CurrentHandler : 0x8d5b4812
ServiceNumber : 0x141
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetSystemPowerState
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x826c7cc8
CurrentHandler : 0x8d5b494e
ServiceNumber : 0x142
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwShutdownSystem
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8267a309
CurrentHandler : 0x8d5b492a
ServiceNumber : 0x14a
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSystemDebugControl
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x82690dd1
CurrentHandler : 0x8d5b4972
ServiceNumber : 0x150
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwTerminateProcess
Image Path : C:\Windows\System32\drivers\pxrts.sys
OriginalHandler : 0x8261b2b3
CurrentHandler : 0x8c605630
ServiceNumber : 0x152
ModuleName : pxrts.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwTerminateThread
Image Path : C:\Windows\System32\drivers\pxrts.sys
OriginalHandler : 0x8261b707
CurrentHandler : 0x8c604c80
ServiceNumber : 0x153
ModuleName : pxrts.sys
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwVdmControl
Image Path : C:\Windows\System32\Drivers\aswSnx.SYS
OriginalHandler : 0x8265ca14
CurrentHandler : 0x8d5b4a7e
ServiceNumber : 0x161
ModuleName : aswSnx.SYS
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwWriteVirtualMemory
Image Path : C:\Windows\System32\drivers\pxrts.sys
OriginalHandler : 0x825d71ab
CurrentHandler : 0x8c605000
ServiceNumber : 0x16a
ModuleName : pxrts.sys
SDTType : 0x0


--== Dump Hidden Port ==--
No hidden ports found.

--== Dump Kernel Code Patching ==--
[KERNEL_CODE][PATCHED]:
Service API : ZwCreateProcessEx
Address : 82612645
CurrentCode : E998424C0B
ExpectedCode : 6A0C68B8C1
ServiceNumber : 0x49
SDTType : 0x0
1 Kernel code patching found.

--== Dump Hidden Services ==--
No hidden services found.

Gli dai un'occhiata per favore?
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Uomo_Senza_Sonno » mar mar 08, 2011 12:42 pm

Controlliamo anche con HxD a questo punto... postami il settore 0 (è sufficiente anche inserire solo il link da imageshack.us); non è detto che queste schermate blu siano per forza dovute ad agenti virali, ma prima escludiamo questa possibilità.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 12:50 pm

Ok un po di tempo per capire come funziona quel programma e poi posto. Ma dal log si nota qualcosa di strano?
La schermata blu puo' essere causata anche da programmi che vanno in conflitto!? inizio a disinstallare dei programmi che ho installato in queste ore.
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Uomo_Senza_Sonno » mar mar 08, 2011 1:00 pm

Così su due piedi, e senza analisi più dettagliate è difficile stabilire la causa di queste schermate blu, quindi per il momento lascia stare così com'è il pc. Dopo che escludiamo la possibilità di infezione da rootkit passiamo ad altro.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 1:03 pm

[^]
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 3:20 pm

http://img852.imageshack.us/i/nuovaimmagine.png/

Ecco. Spero di aver fatto bene è la prima volta che uso imageshack.

internet explorer non va.
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 3:47 pm

Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Uomo_Senza_Sonno » mar mar 08, 2011 4:04 pm

Mi puoi postare l'immagine con la notazione in esadecimale? Insieme al settore 0, posta anche il settore 2047 e 2048 per il momento
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 4:57 pm

Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 4:59 pm

Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 5:05 pm

scusa ho capito solo ora in esadecimale tra poco ti posto per bene
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm


Re: Comodo mi segnala un rootkit, forse falso positivo

Messaggioda Nichi » mar mar 08, 2011 8:45 pm

nell'attesa ho usato fixwin, ho ripristinato la funzionalità di internet explorer, spero di avere buone notizie da te e di non aver più schermate blu.
Siamo solo pedine... [B)]
Avatar utente
Nichi
Senior Member
Senior Member
 
Messaggi: 388
Iscritto il: ven feb 26, 2010 3:16 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising