ROOTKIT INFAME....NON Removable NAME:Hidden registry key

[t.pablo]

Ciao raga.....
Avrei bisogno di un chiarimento......

Ho fatto una scansione con GMER, (sospettavo di avere dei problemi a causa di un notevole rallentamento in seguito a innumerevoli installazioni e disinstallazioni di firewall e antivirus free per decidere quali adoperare) e alla fine il mess è:

"GMER has found system modification caused by ROOTKIT activity."

Allego la finestra dello scan con le "simpatiche" voci in rosso !!

Come posso eliminarle??

Ho anche fatto uno scan con "Sophos Anti-Rootkit"...il quale mi avvisa che è presente un rootkit:

Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ d346prt\Cfg\0Jf40
Removable: No
Notes: (no more detail available)

Vi posto anche il mio log...che a mio avviso dovrebbe essere pulito....:


Logfile of HijackThis v1.99.1
Scan saved at 9.15.58, on 12/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mspaint.exe
I:\software\Sicurezza\Antivirus\Programmi per emergenza Virus\Gmer\gmer.exe
C:\Documents and Settings\Pablo\Documenti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iol.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: UPnPService - Unknown owner - C:\Programmi\File comuni\MAGIX Shared\UPnPService\UPnPService.exe

A I U T O O O O !!!!

[tognazzi]

log pulito anche per me.
insisti con altri antirootkit se non lo hai già fatto.
prova f-secure blacklight beta e avg antirootkit beta.

[t.pablo]

Ho procato avg antirootkit beta...NIENTE!! Tutto pulito....proverò con f-secure blacklight beta .
Ho anche provato a fare uno scan con "ClamWin" il quale mi ha rilevato un Trojan:

WARNING: Can't open file \\?\C:\pagefile.sys

WARNING: Can't open file \\?\C:\WINDOWS\system32\drivers\atapi.sys



C:\!KillBox\_CACHE_003_: Trojan.Clicker.HTML.Agent FOUND

----------- SCAN SUMMARY -----------

Known viruses: 108083

Engine version: 0.90.1

Scanned directories: 2148

Scanned files: 25374

Skipped non-executable files: 687

Infected files: 1

A I U T O!!!!

[OYS]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d 346prt\Cfg\0Jf40
Questa chiave che hai postato non è un rootkit, si riferisce a Daemon Tools e Alcohol. Secondo il creatore di RootkitRevealer la software house fa uso di rootkit. La software che produce il software "incriminato" si difende che la voce rilevata da rootkitRevealer sia in realtà un drive virtuale che il software crea per "lavorare"

Il trojan rilevato da ClamWin era una copian del file, che tu o l'utente che usava il computer, aveva eliminato con KillBox. Potresti postare il risultato di gmer?

[t.pablo]

Provato anche con f-Secure Blacklight beta.....niente!!!!

[t.pablo]

PER OYS:
Come da te richiesto...lo scan di GMER (SOLO LE RIGHE IN ROSSO):


---- Modules - GMER 1.0.12 ----

Module _________ F8432000
Module (noname) (*** hidden *** ) EF44B000
Module (noname) (*** hidden *** ) F8744000
Module (noname) (*** hidden *** ) F82CD000

[t.pablo]

per oys:

...Ho Daemon Tools.. ho provato a disistallarlo....e ho rilanciato lo scan.....ma niente....non è cambiato nulla la chiave "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ d346prt\Cfg\0Jf40" c'è sempere....Sei sicuro che non è niente???
Grazie....
:master: :master: :master:

[t.pablo]

Originariamente inviato da OYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d 346prt\Cfg\0Jf40
Questa chiave che hai postato non è un rootkit, si riferisce a Daemon Tools e Alcohol. Secondo il creatore di RootkitRevealer la software house fa uso di rootkit. La software che produce il software "incriminato" si difende che la voce rilevata da rootkitRevealer sia in realtà un drive virtuale che il software crea per "lavorare"

Il trojan rilevato da ClamWin era una copian del file, che tu o l'utente che usava il computer, aveva eliminato con KillBox. Potresti postare il risultato di gmer?

...Ho Daemon Tools.. ho provato a disistallarlo....e ho rilanciato lo scan.....ma niente....non è cambiato nulla la chiave "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ d346prt\Cfg\0Jf40" c'è sempere....Sei sicuro che non è niente???
Grazie....

[OYS]

Se c'è qualcosa non è legato a quello... Lo conferma questa discussione, in cui cercano di eliminarlo e poi capiscono che non è dannoso:

http://forum.swzone.it/showthread.ph...t=SmitFraudfix

[holifay]

per quanto ne so quel servizio è legato al driver SCSI minport d346prt.sys
Probabilmente alcune impostazioni sono cambiate durante la scansione del sistema e la chiave è stata rilevata come rootkit perchè non visibile dalle API di windows.

In ogni caso occorrerebbe sapere la lunghezza in byte della chiave e la data di creazione, cose che puoi vedere con il tool della sysinternals http://www.microsoft.com/technet/sys...tRevealer.mspx