Olimpo Informatico

Danielix · Inviato: 08 Nov 2007 20:26 Oggetto: Orange, leggimi 'sto log di GMER, please!

Ovviamente questo post non è esclusivo per Orange!! Era un modo giocoso di esternare i miei apprezzamenti e, on top!, ho sentito parlare di GMER (figlio di Pdor...!) per la prima volta da lui/lei....

Eseguita scansione con GMER solo per imparare a conoscerlo. Mi spunta fuori con questo log che non riesco ad interpretare, anche perchè so di avere il pc pulito:

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-11-08 19:04:51
Windows 5.1.2600 Service Pack 2

---- Devices - GMER 1.0.12 ----

Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE [F8244012] OsaFsLoc.sys

---- Registry - GMER 1.0.12 ----

Reg \Registry\USER\S-1-5-21-3066595062-2089771615-4213739915-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{947AED20-98DF-30EA-E3E2-159E6724FF8B}@iapedpdcmfagnggica 0x6B 0x61 0x6C 0x68 ...
Reg \Registry\USER\S-1-5-21-3066595062-2089771615-4213739915-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{947AED20-98DF-30EA-E3E2-159E6724FF8B}@hafeihdccgllihdj 0x6B 0x61 0x6C 0x68 ...
Reg \Registry\USER\S-1-5-21-3066595062-2089771615-4213739915-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{947AED20-98DF-30EA-E3E2-159E6724FF8B}@halfkhbflakifdmp 0x61 0x61 0x00 0x00
Reg \Registry\USER\S-1-5-21-3066595062-2089771615-4213739915-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{947AED20-98DF-30EA-E3E2-159E6724FF8B}@halfkhbfcbplldpl 0x61 0x61 0x00 0x00
Reg \Registry\USER\S-1-5-21-3066595062-2089771615-4213739915-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9F4AAC5C-1BC0-6A6C-7138-1FF7B73B6178}@iapomjbljcabfljmpl 0x6B 0x61 0x6C 0x6C ...
Reg \Registry\USER\S-1-5-21-3066595062-2089771615-4213739915-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9F4AAC5C-1BC0-6A6C-7138-1FF7B73B6178}@hajocodmojbboood 0x6B 0x61 0x6D 0x6C ...
Reg \Registry\USER\S-1-5-21-3066595062-2089771615-4213739915-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9F4AAC5C-1BC0-6A6C-7138-1FF7B73B6178}@halnenkigihonfld 0x61 0x61 0x00 0x7E
Reg \Registry\USER\S-1-5-21-3066595062-2089771615-4213739915-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9F4AAC5C-1BC0-6A6C-7138-1FF7B73B6178}@halnenkibjecmjjp 0x61 0x61 0x00 0x7E

---- EOF - GMER 1.0.12 ----

A parte il fatto che GMER non riesco ad afferrarlo e la cosa mi fa sentire idiota, quando nel registro provo ad aprire le chiavi indicate, Regedit se ne esce con: "Impossibile aprire Caio e Sempronio. Errore durante l'apertura della chiave", ed è il tono che mi sorprende, perchè me lo dice irritato come quando le chiavi non esistono più ma lui non ha avuto ancora il tempo di sggiornarsi perchè tu stai lì a fissarle anche se non esistono. Ma me lo dice anche dopo il riavvio!
Ma poi, GMER (figlio di Pdor...) oltre ad individuare i problemi, te li fa fixare o no?? Io mica lo capisco 'sto coso....
Illuminatemi!!

ste_95 · Inviato: 08 Nov 2007 20:59 Oggetto:

anche se non sono Orange ti posso dire che il log è pulito, ma la prossima volta metti il log su www.freefilehosting.net e dai il link, invece di incollarlo in un post...
GMER rileva solo, poi il compito dell'utente è, con strumenti appositi, eliminare l'infezione, se presente...

bdoriano · Inviato: 08 Nov 2007 22:32 Oggetto:

Ciao Danielix, Ciao

Questa è la modalità con cui, solitamente, vengono richiesti i logs di gmer.

PS: la versione che usi tu, è "vecchia". Razz

Per aggiornarla, esegui il comando C:\WINDOWS\gmer_uninstall.cmd, riavvia il pc, scarica la nuova versione e avviala.

Orange · Inviato: 09 Nov 2007 09:22 Oggetto:

mi sono fatta due risate a leggerlo questo post!
Figlio di Pdor è proprio forte..

Danielix, ti dò una mano volentieri, ma prima, come giustamente dice bdoriano, dovresti scaricare l'ultima versione del programma.

p.s. sono una lei Wink

Danielix · Inviato: 09 Nov 2007 12:49 Oggetto:

Faccio subito.
Ma per il log postato...non capisco: li ho sempre visti così e ho fatto lo stesso! Cmq se si fa così mi adeguo velocemente.

Danielix · Inviato: 09 Nov 2007 14:17 Oggetto:

Mi sto sentendo veramente deficiente...
Non riesco seriamente a decifrare i logs di GMER (a parte notare troppo spesso l'espressione "duplicate objet") e ora si aggiunge pure freefilehosting: come diamine si posta un link diretto su di una parola voluta?
Cmq intanto a qualcosa sono arrivato:

GMER - Log Autostart: http://www.freefilehosting.net/download/MzQzNTI=
GMER - Log Rootkit: http://www.freefilehosting.net/download/MzQzNTM=

Ci sono due o tre applicazioni in startup che devo eliminare e lo so, ma non avuto tempo.
Thanks very mucca per darci un'occhiata, ma thanks very due mucche a chi volesse illuminarmi...

Orange · Dio maturo Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma

Danielix · Inviato: 09 Nov 2007 21:27 Oggetto:

Dunque, il "so di avere il pc pulito" non è perchè me l'abbia assicurato Nettuno, cioè potrei sbagliarmi (altrimenti non armeggerei col figlio di Pdor...) ma ho trascorso l'ultimo mese alla media di 26 ore e 1/2 al giorno a ripulirlo (al Caffè posso spiegarti l'antefatto!) con tutti gli antivirus(es) antispyware(s) e cleaner(s) di registro che intralciano il web e ho tolto tanta di quella spazzatura che l'icona del cestino mi è scesa di due pollici sotto la linea di galleggiamento ooops...sotto la barra applicazioni.
Ma è d'uopo un'errata corridge: "So che dovrei avere il pc pulito", spero.

YhUpPY è una simpatica toolbar beta che rippa video da più di una trentina di siti prestabiliti. Funziona. Ed è "sicura". Se non fossi idiota e capissi come si fa ti posterei il link diretto del download, giusto per conoscenza.

Le chiavi...., non ti avrei chiamata a gran voce se avessi una pallida spiegazione (on top don't forget I can't understand that son of Pdor called Gmer!): è da te che vorrei lumi, se Very Happy

possibile.
Ti prego, dimmi che c'é del rootkit nel mio pc: adoro il sangue del malware!!! Twisted Evil

(Madonna le stragi che ho fatto ultimamente....! - Conosco alcuni Trojan(s) ormai anche personalmente!)
Thanks very mucca per il tempo perso a leggere i log(s) Laughing

Orange · Inviato: 11 Nov 2007 13:35 Oggetto:

Ciao, Danielix, e scusa il ritardo con la risposta.

riguardo alla chiave non ho trovato proprio nessuna informazione e quindi non sò dirti se è lecita o meno. potrebbe anche essere legata a quella toolbar YhUpPY, ma non ci metto la mano sul fuoco...
Praticamente con l'aiuto di Gmer possiamo dire solamente che questa particolare chiave del registro risuta alterata rispetto alle impostazioni di default di Windows, ma le cause potrebbero essere diverse.

Purtroppo Gmer è un strumento avanzato che di regola è poco utile ai "non-smanettoni". Non ci dice quali processi del PC sono leciti e quali non. Si limita solamente a elencare le modifiche fatte al sistema (Rootkit) e i processi in esecuzione (Autostart). Dopo è l'utente stesso che dovrebbe cercare le informazioni su ogni singola voce. L'unica eccezione è quando le voci elencate risultano di color rosso e riportano la dicitura (*** hidden ***), che è un chiaro segno della presenza di un rootkit nel sistema.

Bdoriano stà preparando una dettagliata guida a Gmer. Credo che tra qualche giorno possiamo già vederla pubblicata. Se dopo avrai comunque delle domande, puoi rivolgerti qui che cerchiamo di approfondire.