CIS 3 Premium scansione aree critiche Rootkit.HiddenValue[at]0

Buongiorno.

Questo è il mio primo msg. . . quindi con l’occasione saluto tutti gli utenti del forum.

Premetto di aver cercato l’argomento prima di postare, in caso di contestazione ho il salvataggio della ricerca effettuata prima di postare questo argomento ;D
Premetto anche che non mi è ben chiara la definizione che CIS attribuisce ad alcune chiavi di registro quando le elenca come: “Rootkit.HiddenValue[at]0” cioè se CIS considera questi valori delle effettive minacce.

1 Dispongo di CIS Premium 5.3.176757.1236 - DB virus 7607
2 Ho una connessione ADSL-2 - 8GB
3 il mio s.o. utilizzato con Comodo e oggetto della discussione è Win XP SP3
4 La mia utenza è “Amministrativa”
5 Nessun ulteriore sw di sicurezza real-time/attivo installato attualmente - né precedentemente, a parte la vecchia versione di Comodo. Settimanalmente effettuo una scansione con Malwarebytes’ scaricato da qui: http://www.malwarebytes.org/e l’uso sporadico di scanner come Gmer scaricato da: GMER - Rootkit Detector and Remover o Combofix scaricato da qui: http://www.combofix.org/
6 Il firewall nativo di XP è disabilitato già dalla prima installazione di CIS, allo stesso modo Windows Defender

7 Il mio sistema pare funzionare regolarmente… non avverto particolari segni di malfunzionamento, reset, blocchi, rallentamenti, il traffico dati in uscita è modesto ed è ipotizzabile che dipenda dalla normale attività di svchost, di system e poco altro.

Ad una scansione antivirus di CIS delle Aree critiche, il sistema risulta “inquinato” da una serie di “Rootkit.HiddenValue[at]0”, come da immagine postata in basso. Tuttavia lo scanner antirootkits Gmer non identifica espressamente (in rosso) tali chiavi come rootkits.

L’unica particolarità che potrebbe associare tali valori a delle minacce è la caratteristica che tali valori sono ineliminabili (non cancellabili) da CIS, ma anche con diretto intervento manuale effettuato in modalità amministrativa standard, (non ho provato in modalità provvisoria). Più precisamente, anche se per questi valori è possibile attribuire per la mia utenza il controllo completo, non è comunque possibile eliminarli.

Ne allego uno per esempio:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}]

Chiedo gentilmente se i valori mostrati in basso possono essere considerati come minacce, oppure dei “falsi positivi”. Nel caso fossero reali minacce, quali attività è opportuno intraprendere ? Inoltre in caso di eliminazione, esiste il rischio di compromettere la normale funzionalità del sistema ?

Perdonate la lunghezza, ma ho voluto spiegare nei dettagli i termini del problema, così come anche richiesto dalle policy del forum.

Cordiali saluti . . .

http://img140.imageshack.us/img140/5491/rootkits.jpg

_{Edit by Dennis2: removed the uploaded to well known image hosting site message}

Buonasera kRel,

benvenuto nel forum :-TU

Se sono davvero dei falsi positivi (e sottolineo se), l’eliminazione potrebbe compromettere il funzionamento del sistema operativo.
Detto ciò ho fatto delle ricerche in internet relative a Inprocserver e ho trovato che anche molti pulitori di registro in certi casi non riescono a rimuoverle, come indicato qui:

Mi pare di capire che tu abbia fatto una scansione delle sole aree critiche.

Prova a seguire questa procedura:

1. Posta qui sul forum un’immagine relativa agli eventi della Defense+

2. Esegui una scansione completa del pc (My Computer) controllando tutti i file (alzando, tramite le impostazioni dell’antivirus, il limite massimo della dimensione dei file da controllare). Attiva inoltre, se non lo è già, la scansione in cloud.
   Questo aumenterà il tempo di scansione, però si avrà la certezza che tutti i file siano controllati.

3. Metti in quarantena ciò che trova se lo permette. (forse scansionando tutto il pc troverà qualche altro file infetto).
   Se trova qualche file infetto e lo riesce ad eliminare, ripeti la scansione, altrimenti passa al punto successivo.

4. Se il problema non si è risolto, prova a seguire la procedura indicata al post 6 di questa discussione che ho trovato in internet:

5. Posta poi qui il log prodotto

Cordiali saluti

fuco

Ciao kRel, benvenuto!
Dunque, il valore InprocServer32 è legittimo, o almeno ci deve essere in un sistema Windows. Qui trovi alcuni ragguagli su di che cosa si tratta:

Rimane da vedere se può essersi effettivamente infettato o meno. Se MBAM e Gmer non danno segni di vita è (molto) probabile che siano effettivamente dei falsi positivi. Magari prova a fare una scansione anche con un altro antivirus, magari Emsisoft Emergency Kit 1.0 (ex A-Square) che è in versione portable e non necessita installazione. Mi raccomando di maneggiarlo con cura: ha il “grilletto facile”

Per il resto i consigli di fuco sono ottimi: prova a monitorare il comportamento del D+ e del firewall per vedere se il pc si comporta in modo “strano”. :-TU

Ciao fuco . . . Grazie per aver cercato per me e grazie per avermi risposto.

1. L’unica scansione a trovare dei problemi è proprio la scansione delle aree critiche. Vedi immagine Defense+ sotto (nel caso volessi ingrandire: su immagine, tasto ds >visualizza immagine).

2. Le impostazioni Antivirus sono: “Ottimizzato” con “Scansione all’avvio”, “Euristica alta”, “Esclusione di file + grandi di 20 Mb” Devo ingrandire ancora quest’ultimo valore? e fino a quanto ? Le impostazioni di “Defence+” sono su “Sicuro” e i parametri delle altre 3 schede sono TUTTI attivi e al massimo.

3. Ho già fatto da poco fatto una scansione completa di tutto il sistema (4 dischi) e qualche schifezza che già sapevo di avere l’ha trovata, ma solo dentro file di archivio, inutilizzati da tempo e compressi, in disco dedicato ai dati e non nel disco del s.o. che risulta pulito (ad una scansione completa).

4. a questo indirizzo c’è il log di Gmer (ho usato un link esterno per non ingigantire questa discussione… basta solo un click): http://dl.dropbox.com/u/6872685/GmerLog.txt

Ciao Giascar,

purtroppo non conosco bene l’inglese, l’unica cosa che ho capito è che la variabile InprocServer32 è legittima. Quello che potrebbe non essere legittimo è il valore associato tipo “74554CCD-F60F-4708-AD98-D0152D08C8B9”, che in ogni caso non aiuta molto, perché criptico.
Ho provato a cercare proprio quel valore (a cui punta una chiave ineliminabile) in altre aree del registro e salvo errore, non mi pare punti a qualche software strano…

Aggiungo che quando provo ad aprire qualcuna di quelle chiavi illustrate nel porimo post, esce la solita finestra di avviso di windows che avverte: “Impossibile aprire Inprocserver32. Errore durante l’apertura della chiave”

Che vuol dire più precisamente “ha il grilletto facile?” Forse vuoi dire che Emisoft Emergency kit può fare danni… ma in che modo bisogna stare attenti ?

Questi sw di rimozione in effetti, possono fare danni seri, peggiori di una infezione, al punto di dover reinstallare: non è che mi vada molto . . . ;D ;D

########

Se poi volete darmi una “pasticca di sapere” in più mi farebbe piacere… Cos’è che “blocca” alcune chiavi di registro e la loro eliminazione?

http://www.iouppo.com/life/1102/952892df35bd06aee14618b2819f4784.JPG

edit by mirk1989 per modifica foto

Si, in effetti delle volte mi esprimo un po’ male
Per grilletto facile intendo un software che bolla come malware qualcosa di legittimo. In pratica un software con troppi falsi positivi: se un utente è in grado di leggerli non è un problema, ma se uno si fida ciecamente lì iniziano i dolori.

Il fatto che l’editor di registro non possa essere aperto è dovuto al fatto che in Seven, anche se un utente ha privilegi di amministrazione viene comunque “depotenziato” (passami il termine), per poi ridargli i diritti in caso di necessità (tipo installazione software o simili). Per modificare il registro nelle parti fondamentali esiste una procedura che ora non ricordo, ma sul web trovi guide piuttosto dettagliate.

Tornando a bomba sul problema, con euristica a livello di default (cioè Bassa) hai lo stesso tipo di problema? Tenere alta l’euristica può portare a falsi positivi, come può essere in questo caso. Se MBAM e Gmer non segnalano nulla di anomalo non dovresti preoccuparti troppo.

Già che ci sei potresti provare a fare una scansione con HijackThis: lo puoi scaricare da qui Download Free Tools| Trend Micro La versione “Executable” non ha bisogno di installazione, fai una scansione con log e lo posti sempre qui. Vediamo cosa ci dice…

Ciao Krel,

Immagino dunque che, la procedura da me postata al punto 4) del post precedente non abbia risolto il problema…

Ho controllato cercando in internet, il log di GMER che hai postato.
Sembrerebbe tutto regolare, anche se in effetti non ho trovato nulla relativamente a questi due file:

\SystemRoot\System32\Drivers[b]arfwauv4.SYS[/b]

C:\Documents and Settings\kRel\Desktop[b]7p2h8964.exe[/b]

Per quanto riguarda il primo non ho trovato assolutamente nulla (con Google).
Per quanto riguarda il secondo, in nome è “strano”, ma, tale file, pare risiedere sul desktop e, come posizione, mi pare strana per un virus che tenta di nascondersi.

Per ora però non azzardo conclusioni.

Concordo con Giascar…il log di HijackThis potrebbe dire qualcosa di utile.

Saluti

fuco

ciao giascar.

il problema ce l’ho con XP. . .
Buyona l’idea dell’euristica alta che potrebbe dare falsi positivi. Tuttavia sottolineo che Comodo evidenzia quelle chiavi forse perché protette da qualche strano processo, ed in ogni caso da cancellazione !
Che, per alcune chiavi vuote, (non tutte) è un pò strano.
La scansione con hijackthis l’ho già fatta e non ne ho parlato perché al 99% è tutto a posto, i rimandi puntano tutti a chiavi e/o software da me installati.
Nel caso voleste dargli un occhiata… qui c’è il file: http://dl.dropbox.com/u/6872685/hijackthis.log

Ciao fuco

Il secondo file è il nome casuale che gmer attribuisce al suo exe nel download. Come sai questa è una delle tante misure preventive per mascherarsi ai virus.
Il primo mi insospettisce, un pò, anche se nel sistema del file “arfwauv4.SYS” non ce n’è traccia. Potrebbe dipendere da un programma disinstallato oppure potrebbe essere la traccia di quei virus stealt che cambiano nome ogni tanto. Come non c’è traccia nel registro . . . Mah …
Ho cercato su interness e non ho trovato nulla che faccia anche capo alla radice anche abbreviata di quel nome… non so che pensare.

Cosa pensi… se cancello da gmer faccio danni ?

Piuttosto, visto che siete utenti di Comodo e conoscete gmer, combofix, hijackthis. e tante altre amenità… conoscete Comodo System-Cleaner ?
E’ un mix di CCleaner, Registrimechanic, RevoUninstaller Pro ecc. Se funzionasse bene, senbza fare danni potrebbe essere un buon prodotto. Io l’ho installato, ma non mi fido ancora ad usarlo . . .

Mi sa che quelle chiavi ineliminabili rimarranno li . . .

In effetti il log di Hijackthis mi pare pulito, o comunque senza niente di strano. Sono sempre più convinto che si trattino di falsi positivi. Magari prova a fare un’ultima scansione in modalità provvisoria e vediamo che succede.

Riguardo a System Cleaner: questi tipi di software vanno usati con molta cautela, sopratutto per quanto riguarda la parte inerente al registro di sistema. In pratica, evita la pulizia automatica e seleziona personalmente le cose da eliminare. Se non sei sicuro di una cosa non cancellarla!

Ciao Krel,

Concordo con Giascar. Il log pare pulito.

Se l’exe sul desktop è quello di GMER, allora, potrebbe essere, che l’altro file sia stato anch’esso creato da GMER (magari per far funzionare correttamente l’exe sul desktop) con un nome casuale.
Se così fosse, ma è solo un’ipotesi, non sarebbe lui la causa delle chiavi “invulnerabili”.

Io l’ho installato solo qualche giorno fa…troppo poco tempo per valutarlo.

Concordo con Giascar. Con questi tipi di programmi è sempre meglio essere prudenti.

Lo consiglio anch’io.

Saluti

fuco