PROBLEMA Exploit-Vitriol Rootkit

[Modding]

Pero' in un boot di avvio dovra' pur esserci la parte maligna che lancia la vm.Con un disco di avvio si dovrebbe anticipare questa esecuzione penso.

Come si fa un boot disk d'avvio?su kaspersky nn l'ho trovato il file,cosa devo cercare su google? Cmq ho usato quella vecchia versione di Ubuntu originale sul Pc e quando digito alcuni comandi Sudo mi dice che "mancano i privilegi necessari" eppure sono loggato come admin o rootinfatti ho provato anche con sudo root -i e - u root ma cmq nn ti fa fare diverse cose specie ai devices.Col comando sudo hdparm -g /dev/* ho scovato tutte questi devices collegati che nn so neppure che siano:/dev/acpi/ dev/bus/ dev/cdrom/ dev/cdrw/ dev/console/ dev/core ed in particolare tra gli H.Disk presenti oltre una pennetta Usb(/dev/sda) che tentavo di formattare con cat /dev/zero >/dev/sda compaiono anche due Unknown disk..uno e`unionfs e l'altro e`tmpfs..tmpfs appartiene sicuramente a Ubuntu che parte in Ram dal Cd,ma unionfs invece?Potrebbe essere utilizzato dal rootkit?ho letto che ha qualcosa a che fare con gli snapshots.Ci sarebbe un modo per disattivarlo o rimuoverlo questo unionfs?Scusate le domande da ignorante ma nn ci capisco granche`. Ho scaricato i tools che mi dicevate cmq,x stasera anlizzo e domani allego il tutto.

 

[Mursey]

Non so se risolve ma e' questo : Kaspersky Rescue Disk 10

 

[Modding]

Non so se risolve ma e' questo : Kaspersky Rescue Disk 10

Non credo riesce ad individuarlo.Ricordo che tempo fa venni qui a chiedere aiuto e mi dissero di provare con TDSSKiller e forse questo rescue disk..non risolse nulla e nn trovo`il rootkit.Pero`a quei tempi nn ne capivo nulla,mettevo i file exe sul desktop e li eseguivo,senza usare Live da CD,senza sapere che c'era bisogno di privilegi root/hypervisor x contrastarlo alla "pari".Intanto oggi ho scoperto che pur rimuovendo la Gpu e tutti gli H.D./Usb drive c'e`un devices con 453000 bytes interno al Pc che potrebbe ospitare il virus. Si chiama HDIO_Drive e provando ad usare diversi comandi per formattarlo o resetarlo come da fabbrica con hdparm o fdisk da sempre questo errore: Inappropriate ioctl for device forse appartiene alla scheda audio integrata della scheda madre? Che si puo`fare?

 

[Modding]

Ho avuto la conferma ennesima sia infetto il Pc perche`avevo messo dei file eseguibili su un cd l'altro giorno e l'antivirus/mbam/spybot del pc nn me li avevano rilevati infetti.Come li ho messi sul desktop di un pc appena formattato con solo Avira presente me li ha subito messi in quarantena.Pero`andando su internet col browser continuano ad uscire allarmi su un virus che crea fle temporary.Questo giusto x far capire quanto siano inutili gli AV e i tools di rimozione su un Pc infetto che lavora in VM quindi e`il virus che gli dice tutto quello che deve fare e deve rilevare.Bisogna andare a monte,alla radice del problema ma e`roba da esperti,da programmatori?Possibile che nn ci sia qualcuno che ne mastica nel forum di queste cose?Esiste un centro specializzato in Italia in alternativa a cui rivolgersi?

 

[ShikiMonster]

E "fisicamente" non si può fare nulla? il bios dov'è ? se è in una qualche memoria della scheda madre non si può sostituire? io non ci capisco nulla la butto li, ma è possibile che si debba buttare via un pc per via di un virus?

 

[Mursey]

Ho avuto la conferma ennesima sia infetto il Pc perche`avevo messo dei file eseguibili su un cd l'altro giorno e l'antivirus/mbam/spybot del pc nn me li avevano rilevati infetti.Come li ho messi sul desktop di un pc appena formattato con solo Avira presente me li ha subito messi in quarantena.Pero`andando su internet col browser continuano ad uscire allarmi su un virus che crea fle temporary.Questo giusto x far capire quanto siano inutili gli AV e i tools di rimozione su un Pc infetto che lavora in VM quindi e`il virus che gli dice tutto quello che deve fare e deve rilevare.Bisogna andare a monte,alla radice del problema ma e`roba da esperti,da programmatori?Possibile che nn ci sia qualcuno che ne mastica nel forum di queste cose?Esiste un centro specializzato in Italia in alternativa a cui rivolgersi?

Un giro col rescue disk lo hai fatto comunque ?

 

[Modding]

Un giro col rescue disk lo hai fatto comunque ?

Lo faccio a giorni.Questo perche`ho scaricato i file da internet ma avendoli messi su una chiavetta infetta c'e`il rischio si possano essere modificati.Per nn correre il rischio voglio masterizzare direttamente il cd da casa di un'amico col pc pulito coi file direttamente dal sito.Il file infetto che lancia la VM deve trovarsi in qualche unita`memorica del Pc.Non penso possa agire direttamente dalla Cpu,o sbaglio?

 

[Mursey]

Il file infetto che lancia la VM deve trovarsi in qualche unita`memorica del Pc.Non penso possa agire direttamente dalla Cpu,o sbaglio?

Dalla cpu no, la ram direi nemmeno.
Deve essere in qualche partizione del hd e partire all'avvio, per quello un rescue disk dovrebbe anticipare tutto.
L'unico problema e' se non lo hanno nella loro lista di minacce.

C'e' anche l'ipotesi modem... ma prima prova il rescue disk.

 

[Dan63]

Sto`investigando da due anni circa sul virus che ho preso sul Pc x via di un amico che ignorantemente ha collegato ad un H.Disk che era stato hackerato da remoto anni fa.L'exploit in questione e`un rootkit chiamato Vitriol VM o VT-xCorrispondono infatti tutte le tipologie di problemi riscontrati a quelli descritti dalle recensioni sul rootkit in giro sul web.I tools antimalware e gli antivirus nn riescono a rimuoverlo ne a rilevarlo in quanto il Vitriol crea una VirtualMachine parallela a quella dell'utilizzatore del Pc..quindi si pone come hypervisor root e non c'e`modo di avee gli stessi privlegi di controllo del virus.La formattazione inoltre nn funziona perche`in qualche modo sopravvive,forse nel Bios della scheda madre,forse nella Cpu o addirittura nella Gpu o altre periferiche che hanno capacita`di calcolo/memoria.E`davvero difficile da arrestare e mettere in quarantena.Eppure forse qualche tools di rimozione avanzato aggiornato da Live potrebbe farcela mi hanno detto alcuni..possibile?Chiedo il vostro aiuto perche`sto`provando a chiedere assistenza ai negozi ma nessuno capisce l'entita`del problema e tutti mi dicono che si prendono cmq 30€(senza responsabilita`)se poi nn riescono a toglierlo..Purtroppo sono disoccupato e nn posso buttare via i soldi cosi`.Se qualcuno ha davvero la passione x le sfide impegnative in ambito di sicurezza questa lo e`davvero.

ciao. Non credo che sia il vitriol.


Dalle opzioni di visualizzazione cartella, a
attiva "visualizza file nascosti" e togli la spunta da "nascondi files protetti e di sistema".


Vai in c:\ e :


Con xp apri la cartella recycler e quarda se dentro trovi un file con l'icona del cestino che si chiama S-1-5-xx-blablabla. Se c'è, copia la stringa e incollala qui.


Con W7 fai la stessa cosa per vedere i files nascosti e di sistema poi cerca in root la cartella $RECYCLER. Entra e vedi se c'è un file con scritto cestino (ha anche l'icona del cestino). Cliccaci col destro e vedrai winrar che ti chiederà se vuoi aggiungere a uno zip la cartella "S-1-5-xx-etc.... Anche qui, se c'è, posta la stringa.


A presto.

 

[Mursey]

ciao. Non credo che sia il vitriol.


Dalle opzioni di visualizzazione cartella, a
attiva "visualizza file nascosti" e togli la spunta da "nascondi files protetti e di sistema".


Vai in c:\ e :


Con xp apri la cartella recycler e quarda se dentro trovi un file con l'icona del cestino che si chiama S-1-5-xx-blablabla. Se c'è, copia la stringa e incollala qui.


Con W7 fai la stessa cosa per vedere i files nascosti e di sistema poi cerca in root la cartella $RECYCLER. Entra e vedi se c'è un file con scritto cestino (ha anche l'icona del cestino). Cliccaci col destro e vedrai winrar che ti chiederà se vuoi aggiungere a uno zip la cartella "S-1-5-xx-etc.... Anche qui, se c'è, posta la stringa.


A presto.

La presenza di quel file in $Recycler non e' indicativa, al massimo i *.rom possono essere sospetti...

 

[Modding]

ciao. Non credo che sia il vitriol.


Dalle opzioni di visualizzazione cartella, a
attiva "visualizza file nascosti" e togli la spunta da "nascondi files protetti e di sistema".


Vai in c:\ e :


Con xp apri la cartella recycler e quarda se dentro trovi un file con l'icona del cestino che si chiama S-1-5-xx-blablabla. Se c'è, copia la stringa e incollala qui.


Con W7 fai la stessa cosa per vedere i files nascosti e di sistema poi cerca in root la cartella $RECYCLER. Entra e vedi se c'è un file con scritto cestino (ha anche l'icona del cestino). Cliccaci col destro e vedrai winrar che ti chiederà se vuoi aggiungere a uno zip la cartella "S-1-5-xx-etc.... Anche qui, se c'è, posta la stringa.


A presto.

Ho cercato in W7 quella cartella Root e il relativo file $Recycler ma nn trovava niente,con tutti i files nascosti visibili e con il Search..nulla.
Pero`strano che quando ho provato a cambiare i privilegi di sicurezza/accesso all'intero C: mi abbia dato l'errore iniziale per C:\Recycler.bin e molti altri files tipo C:\Hiberfil.sys C:\pagefile.sys etc.etc.
Che nn potevano essere modificati o per mancanza di privilegi o di altro.
Cmq in preda a confusione e stanchezza sono andato in regedit x vedere se almeno li lo trovavo questo benedetto $Recycler ma niente neppure li,cosi`ho fatto dei danni cancellando altre chiavi di registro che speravo togliendo mi facessero riabilitare l'utiluzzo normale e regolare dei programmi..
Purtroppo devo aver tolto qualcosa di troppo ed ora quando si riavvia Windows esce una schermata nera e tutto si pianta li`.

Meglio da una parte cosi`ora posso formattare e installare Windows 10 che ho sentito dire sia molto piu`sicuro di W7
Eppoi ho scoperto che su Xp esiste una console administrativa per impostare rigide regole di sicurezza all'accesso da internet.
Ci sara`qualcosa del genere anche su W7-W8-W10???
Qualcuno puo`aiutarmi a settarlo oppure capire qualcosa con il regedit x cancellare le cose malevole che imposta il malware per modificare a suo piacimento le chiavi compromettendole?

 

[Dan63]

Poi vai nel registro ed esportra queste chiavi
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\I DE]

Puoi dare un'occhiata a queste ?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}]
"Class"="Display"
"ClassDesc"="@DispCI.dll,-3100"
@="Display adapters"
"IconPath"=hex(7):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,65,00,74,00,75,00,70,00,61,00,70,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,\
2d,00,31,00,00,00,00,00
"Installer32"="DispCI.dll,DisplayClassInstaller"
"LowerLogoVersion"="6.0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000]
"InfPath"="oem1.inf"
"InfSection"="ati2mtag_ManhattanP"
"ProviderName"="ATI Technologies Inc."
"DriverDateData"=hex:00,40,1d,f2,b1,4f,cb,01
"DriverDate"="9-9-2010"
"DriverVersion"="8.771.1.0"
"MatchingDeviceId"="pci\\ven_1002&dev_68e4&subsys_1426103c"
"DriverDesc"="ATI Mobility Radeon HD 6370"
"FeatureScore"=dword:000000e6
"CoInstallers32"=hex(7):63,00,6f,00,69,00,6e,00,73,00,74,00,2e,00,64,00,6c,00,\
6c,00,2c,00,43,00,6f,00,49,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,65,00,72,\
00,45,00,6e,00,74,00,72,00,79,00,00,00,00,00
"DDC2Disabled"=dword:00000000
"DisableBlockWrite"=dword:00000001
"DisableDMACopy"=dword:00000000
"KMDTst"=dword:00000001
"MultiFunctionSupported"=dword:00000000
"TestEnv"=dword:00000000
"TimingSelection"=dword:00000000
"VgaCompatible"=dword:00000000
"Adaptive De-interlacing"=dword:00000001
"VPE Adaptive De-interlacing"=dword:00000001
"GCOOPTION_DisableGPIOPowerSaveMode"=dword:00000001
"ReleaseVersion"="8.771.1-100909a-105528C-HP"
"BuildNumber"="09700"
"UserModeDriverGUID"="{4242B984-6C36-4FC8-8626-DE5E8B11886D}"
"DALGameGammaScale"=dword:00646464
"GXOPPUseExclusiveExecution"=dword:00000001
"DXVA_WMV_NA"="1"
"DI_METHOD_NA"="0"
"GCORULE_X1DETECT"=dword:00000001
"Force_CV_Detection_DEF"=dword:00000000
"LDA_ChainDescriptor"=""
"PowerXpressLoad"=dword:ffffffff
"DisableTiling"=dword:00000000
"DisableMMSnifferCode"=dword:00000000
"TVForceDetection"=dword:00000000
"TVEnableOverscan"=dword:00000001
"DALRULE_ALLOWMONITORRANGELIMITMODESCRT"=dword:00000000
"AutoColorDepthReduction_NA"=dword:00000001
"OpenGLFlagsWow"=dword:00000003
"OpenGLVersionWow"=dword:00000001
"OpenGLDriverName"=hex(7):61,00,74,00,69,00,67,00,36,00,70,00,78,00,78,00,2e,\
00,64,00,6c,00,6c,00,00,00,00,00
"OpenGLDriverNameWow"=hex(7):61,00,74,00,69,00,67,00,6c,00,70,00,78,00,78,00,\
2e,00,64,00,6c,00,6c,00,00,00,00,00
"OpenGLFlags"=dword:00000003
"OpenGLVersion"=dword:00000001
"PXSplashScreen"=dword:00000000
"DalAsicFIDOSForcedModeSupport"=dword:00000003
"KMD_DisableAspectRatioSupport"=dword:00000001
"DALRULE_NOTVANDLCDONCRTC"=dword:00000001
"WmAgpMaxIdleClk"=dword:00000020
"DisableIDCT"=dword:00000000
"DALR6 CRT_MaxModeInfo"=hex:00,00,00,00,40,06,00,00,b0,04,00,00,00,00,00,00,3c,\
00,00,00
"DisableFullAdapterInit"=dword:00000000
"MemInitLatencyTimer"=dword:775771bf
"GCORULE_FlickerWA"=dword:00000001
"SMOOTHVISION_NAME"="SMOOTHVISION HD"
"SameOnAllUsingStandardInVideoTheaterCloneMode"="1"
"3to2Pulldown_NA"="0"
"GI_NA"="1"
"VIDEO_NAME_SUFFIX"="Avivo(TM)"
"AAF_NA"="0"
"AreaAniso_NA"="1"
"TemporalAAMultiplier_NA"="1"
"ColorVibrance_NA"="0"
"Denoise_NA"="0"
"Detail_NA"="0"
"Fleshtone_NA"="0"
"DynamicContrast_NA"="0"
"ASTT_NA"="1"
"DemoMode_NA"="0"
"SplitScreen_NA"="0"
"TheaterMode_NA"="1"
"DemoMode_DEF"="0"
"DisableFBCSupport"=dword:00000001
"StaticGamma_NA"="0"
"Gamma_NA"="1"
"DALNonStandardModesBCD1"=hex:08,00,04,80,00,00,00,60,10,24,06,00,00,00,00,60,\
12,80,07,68,00,00,00,60,14,00,10,50,00,00,00,60
"DisableDualView"=dword:00000000
"DisableDualviewWithHotKey"=dword:00000001
"TVDisableModes"=dword:00000000
"DisableSWInterrupt"=dword:00000000
"ExtEvent_BIOSEventByInterrupt"=dword:00000001
"TVM6Flag"=dword:00000000
"DfpUsePixSlip"=dword:00000001
"Gxo50HzTimingSupport"=dword:00000001
"CVRULE_ENABLEPALTIMINGSUPPORT"=dword:00000001
"EnableCrossFireAutoLink"=dword:00000001
"PP_DeferFirstStateSwitch"=dword:00000001
"DigitalHDTVDefaultUnderscan"=dword:00000000
"DFP_AddHDTVPixelFormats"=dword:00000003
"Gxo24HzTimingSupport"=dword:00000001
"EnableUlps"=dword:00000001
"PP_DynamicPCIEGen2Enabled"=dword:00000000
"DisableMultiSlsGridSupport"=dword:00000001
"EnableSixCloneSupport"=dword:00000000
"MosquitoNoiseRemoval_NA"="1"
"Deblocking_NA"="1"
"ColourDesktopGamma_DEF"="1.0 1.0 1.0"
"ColourDesktopBrightness_DEF"="0 0 0"
"ColourDesktopContrast_DEF"="1.0 1.0 1.0"
"ColourFullscreenGamma_DEF"="1.0 1.0 1.0"
"ColourFullscreenBrightness_DEF"="0 0 0"
"ColourFullscreenContrast_DEF"="1.0 1.0 1.0"
"3D_Refresh_Rate_Override_DEF"=dword:00000000
"Display_Detection_DEF"=dword:00000000
"Panning_Mode_DEF"=dword:00000000
"Force_TV_Detection_DEF"=dword:00000000
"PP_DisableMultiUVDStates"=dword:00000000
"RemovableSources"=dword:00000000
"DALRULE_ENABLESHOWACSLIDER"=dword:00000001
"DALRULE_ENABLESHOWDCLOWSLIDER"=dword:00000001
"ExtEvent_EnableAutoDisplayConfig"=dword:00000001
"ExtEvent_NonExtendedADCProfileOnHotKey"=dword:00000001
"DALRULE_ADDEXTDESKTOPTOPROFILEKEY"=dword:00000001
"DALOPTION_MinResBCD"=hex:00,00,00,00,00,00,00,60
"UserMustConfirm"=dword:00000001
"DMMEnableDDCPolling"=dword:00000001
"ACPI_HKUseCCD"=dword:00000001
"PXACAdapter"=dword:00000002
"PXDCAdapter"=dword:00000001
"PX2HPDEnable"=dword:00000001
"PX2HotkeySwitch"=dword:00000001
"PX2EnableConnectivityAPI"=dword:00000001
"PXReducePopUps"=dword:00000001
"PXUseAPLForSwitch"=dword:00000001
"D3DVendorName"=hex(7):61,00,74,00,69,00,75,00,6d,00,64,00,36,00,34,00,2e,00,\
64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,75,00,6d,00,64,00,36,00,34,00,2e,\
00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,64,00,78,00,78,00,36,00,34,00,\
2e,00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,64,00,78,00,78,00,36,00,34,\
00,2e,00,64,00,6c,00,6c,00,00,00,00,00
"D3DVendorNameWoW"=hex(7):61,00,74,00,69,00,75,00,6d,00,64,00,61,00,67,00,2e,\
00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,75,00,6d,00,64,00,61,00,67,00,\
2e,00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,64,00,78,00,78,00,33,00,32,\
00,2e,00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,64,00,78,00,78,00,33,00,\
32,00,2e,00,64,00,6c,00,6c,00,00,00,00,00
"OpenGLVendorName"=hex(7):61,00,74,00,69,00,6f,00,36,00,61,00,78,00,78,00,2e,\
00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,6f,00,36,00,61,00,78,00,78,00,\
2e,00,64,00,6c,00,6c,00,00,00,00,00
"OpenGLVendorNameWoW"=hex(7):61,00,74,00,69,00,6f,00,67,00,6c,00,78,00,78,00,\
2e,00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,6f,00,67,00,6c,00,78,00,78,\
00,2e,00,64,00,6c,00,6c,00,00,00,00,00
"PXACAutoSwitch"=dword:00000000
"PXDCAutoSwitch"=dword:00000000
"UserModeDriverName"=hex(7):61,00,74,00,69,00,63,00,66,00,78,00,36,00,34,00,2e,\
00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,63,00,66,00,78,00,36,00,34,00,\
2e,00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,63,00,66,00,78,00,36,00,34,\
00,2e,00,64,00,6c,00,6c,00,00,00,00,00
"UserModeDriverNameWow"=hex(7):61,00,74,00,69,00,63,00,66,00,78,00,33,00,32,00,\
2e,00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,63,00,66,00,78,00,33,00,32,\
00,2e,00,64,00,6c,00,6c,00,00,00,61,00,74,00,69,00,63,00,66,00,78,00,33,00,\
32,00,2e,00,64,00,6c,00,6c,00,00,00,00,00
"InstalledDisplayDrivers"=hex(7):61,00,74,00,69,00,63,00,66,00,78,00,36,00,34,\
00,00,00,61,00,74,00,69,00,63,00,66,00,78,00,36,00,34,00,00,00,61,00,74,00,\
69,00,63,00,66,00,78,00,36,00,34,00,00,00,61,00,74,00,69,00,63,00,66,00,78,\
00,33,00,32,00,00,00,61,00,74,00,69,00,63,00,66,00,78,00,33,00,32,00,00,00,\
61,00,74,00,69,00,63,00,66,00,78,00,33,00,32,00,00,00,61,00,74,00,69,00,75,\
00,6d,00,64,00,36,00,34,00,00,00,61,00,74,00,69,00,64,00,78,00,78,00,36,00,\
34,00,00,00,61,00,74,00,69,00,64,00,78,00,78,00,36,00,34,00,00,00,61,00,74,\
00,69,00,75,00,6d,00,64,00,61,00,67,00,00,00,61,00,74,00,69,00,64,00,78,00,\
78,00,33,00,32,00,00,00,61,00,74,00,69,00,64,00,78,00,78,00,33,00,32,00,00,\
00,61,00,74,00,69,00,75,00,6d,00,64,00,76,00,61,00,00,00,61,00,74,00,69,00,\
75,00,6d,00,64,00,36,00,61,00,00,00,61,00,74,00,69,00,74,00,6d,00,6d,00,36,\
00,34,00,00,00,00,00
"ProxyLDA_Support"=dword:00000002
"DAL_ACEspectReady"=hex:01,00,00,00
"LCDSplitdisplayMode"=dword:00000000
"AsicOnLowPower"=dword:00000000
"KD_TilingMode"=dword:00000000
"HardwareInformation.BiosString"=hex:42,00,52,00,30,00,33,00,39,00,38,00,35,00,\
34,00,2e,00,30,00,30,00,31,00,00,00
"HardwareInformation.DacType"=hex:49,00,6e,00,74,00,65,00,72,00,6e,00,61,00,6c,\
00,20,00,44,00,41,00,43,00,28,00,34,00,30,00,30,00,4d,00,48,00,7a,00,29,00,\
00,00
"HardwareInformation.ChipType"=hex:41,00,54,00,49,00,20,00,64,00,69,00,73,00,\
70,00,6c,00,61,00,79,00,20,00,61,00,64,00,61,00,70,00,74,00,65,00,72,00,20,\
00,28,00,30,00,78,00,36,00,38,00,45,00,34,00,29,00,00,00
"HardwareInformation.AdapterString"=hex:41,00,54,00,49,00,20,00,4d,00,6f,00,62,\
00,69,00,6c,00,69,00,74,00,79,00,20,00,52,00,61,00,64,00,65,00,6f,00,6e,00,\
20,00,48,00,44,00,20,00,36,00,33,00,37,00,30,00
"HardwareInformation.MemorySize"=dword:20000000
"DisplayManager_Mapping_0"=hex:00,00,00,00
"PP_ACPowerSourceUIMapping"=dword:00000005
"PP_DCPowerSourceUIMapping"=dword:00000005
"ACE"=hex:31,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\ATI WDM Configurations]
"EnableVirtualTables"=hex:00,00,00,00
"Decoder Type"=hex:00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\ATI WDM Configurations\Frequency Table]
"Virtual Reference Clock"=hex:32,2e,00,00
"Reference Clock"=hex:98,3a,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\ATI WDM Configurations\Hardware Info]
"Virtual Hardware Table Revision"=hex:02,00,00,00
"Virtual Hardware Table Data"=hex:02,35,01,02
"Hardware Table Length"=hex:04,00,00,00
"Hardware Table Revision"=hex:01,00,00,00
"Hardware Table Data"=hex:0f,35,01,02

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\ATI WDM Configurations\Multimedia Table]
"Virtual Multimedia Table Revision"=hex:01,00,00,00
"Virtual Multimedia Table Data"=hex:11,19,06,80,33,66,02,05,06,00,00,07
"Multimedia Table Length"=hex:0c,00,00,00
"Multimedia Table Data"=hex:00,00,00,00,00,00,00,00,00,00,00,00
"Dual Tuner"=hex:00,00,00,00
"Multimedia Table Revision"=hex:01,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DAL2_DATA__2_0]
"default"=hex:64
"All_nodes"=hex:4d,61,70,70,69,6e,67,49,6e,66,6f,5f,53,6f,75,72,63,65,5f,30,00
"MappingInfo_Source_0"=hex:00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DAL2_DATA__2_0\DisplayPath_0]
"default"=hex:64

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DAL2_DATA__2_0\DisplayPath_0\Adjustment]
"default"=hex:64
"All_nodes"=hex:53,61,74,75,72,61,74,69,6f,6e,3b,43,6f,6e,74,72,61,73,74,3b,54,\
65,6d,70,65,72,61,74,75,72,65,3b,48,75,65,3b,42,72,69,67,68,74,6e,65,73,73,\
3b,4f,76,65,72,6c,61,79,41,6c,70,68,61,3b,4f,76,65,72,6c,61,79,41,6c,70,68,\
61,50,65,72,50,69,78,00
"Saturation"=hex:01,00,00,00,64,00,00,00
"Contrast"=hex:01,00,00,00,64,00,00,00
"Temperature"=hex:01,00,00,00,00,00,00,00
"Hue"=hex:01,00,00,00,00,00,00,00
"Brightness"=hex:01,00,00,00,00,00,00,00
"OverlayAlpha"=hex:01,00,00,00,00,01,00,00
"OverlayAlphaPerPix"=hex:01,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DAL2_DATA__2_0\Option]
"default"=hex:64
"All_nodes"=hex:50,73,65,75,64,6f,4c,61,72,67,65,64,65,73,6b,74,6f,70,5f,30,00
"PseudoLargedesktop_0"=hex:01,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\Settings]
"Device Description"="ATI Mobility Radeon HD 6370"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\UMD]
"MainVideo_SET"="0 1 2 3 4"
"MainVideo_TBL"="1:Brightness=0.0,Contrast=1.0,Saturation=1.0,Gamma=0.0,Hue=0.0;2:Brightness=-3.0,Contrast=1.16,Saturation=1.25,Gamma=0.0,Hue=0.0;3:Brightness=-3.0,Contrast=1.07,Saturation=1.10,Gamma=0.0,Hue=0.0;4:Brightness=7.0,Contrast=1.25,Saturation=0.96,Gamma=0.0,Hue=0.0"
"ATMS_NA"="1"
"GI_DEF"="1"
"ASTT_DEF"="0"
"AreaAniso_DEF"="0"
"AAF_DEF"="0"
"AAF_Value_SET"="Box:0,Narrow-tent:1,Wide-tent:2,Edge-detect:3"
"AAF_Mapping_SET"="0(Box:2,Narrow-tent:4,Wide-tent:6,Edge-detect:12) 2(Box:2,Narrow-tent:4,Wide-tent:6) 4(Box:4,Narrow-tent:6,Wide-tent:8,Edge-detect:12) 8(Box:8,Narrow-tent:12,Wide-tent:16,Edge-detect:24) 16(Box:16,Narrow-tent:24,Wide-tent:32)"
"AAAMethod_DEF"="0"
"ATMS_DEF"="1"
"ASD_DEF"="0"
"ASE_DEF"="0"
"Main3D_DEF"="3"
"AntiAlias_DEF"="1"
"AntiAliasSamples_DEF"="0"
"AnisoType_DEF"="0"
"AnisoDegree_DEF"="0"
"TextureOpt_DEF"="0"
"TextureLod_DEF"="0"
"TruformMode_DEF"="0"
"VSyncControl_DEF"="1"
"SwapEffect_DEF"="0"
"TemporalAAMultiplier_DEF"="0"
"ExportCompressedTex_DEF"="1"
"PixelCenter_DEF"="0"
"ForceZBufferDepth_DEF"="0"
"EnableTripleBuffering_DEF"="0"
"CatalystAI_DEF"="1"
"Main3D"=hex:33,00,00,00
"AnisoType"=hex:30,00,00,00
"AnisoDegree"=hex:30,00,00,00
"AntiAlias"=hex:31,00,00,00
"AntiAliasSamples"=hex:30,00,00,00
"ASTT"=hex:30,00,00,00
"ASD"=hex:30,00,00,00
"ASE"=hex:30,00,00,00
"TextureLod"=hex:30,00,00,00
"TextureOpt"=hex:30,00,00,00
"VSyncControl"=hex:31,00,00,00
"TruformMode_NA"=hex:31,00
"SwapEffect"=hex:30,00,00,00
"DitherAlpha_NA"=hex:31,00
"ZFormats_NA"=hex:31,00
"PixelCenter"=hex:30,00,00,00
"ExportCompressedTex"=hex:31,00,00,00
"EnableTripleBuffering"=hex:30,00,00,00
"ForceZBufferDepth"=hex:30,00,00,00
"TemporalAAMultiplier_NA"=hex:31,00
"CatalystAI"=hex:31,00,00,00
"GI"=hex:31,00,00,00
"AAF"=hex:30,00,00,00
"Main3D_SET"=hex:30,20,31,20,32,20,33,20,34,20,35,00
"AnisoDegree_SET"=hex:30,20,32,20,34,20,38,20,31,36,00
"AntiAliasSamples_SET"=hex:30,20,32,20,34,00
"AntiAliasMapping_SET"=hex:30,28,30,3a,30,2c,31,3a,30,29,20,32,28,30,3a,32,2c,\
31,3a,32,29,20,34,28,30,3a,34,2c,31,3a,34,2c,32,3a,38,29,00
"SwapEffect_D3D_SET"=hex:30,20,31,20,32,20,33,20,34,20,38,20,39,00
"SwapEffect_OGL_SET"=hex:30,20,31,20,32,20,33,20,34,20,35,20,36,20,37,20,38,20,\
39,20,31,31,20,31,32,20,31,33,20,31,34,20,31,35,20,31,36,20,31,37,00
"ForceZBufferDepth_SET"=hex:30,20,31,36,20,32,34,00
"HighQualityAF"=hex:31,00
"CCPreview"=hex:30,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\UMD\DXVA]
"OvlTheaterMode_DEF"="0"
"TrueWhite_DEF"="0"
"Fleshtone_DEF"="50"
"LRTCCoef_DEF"="100"
"OvlTheaterModeType_DEF"="0"
"LRTCEnable"=hex:30,00,00,00
"LRTCEnable_DEF"="0"
"WhiteBalanceCorrection_DEF"="0"
"BlueStretch_DEF"="1"
"OverridePA_DEF"="0"
"StaticGamma_ENABLE_DEF"="0"
"StaticGamma_DEF"="100"
"DynamicRange_DEF"="0"
"DynamicRange_ENABLE_DEF"="0"
"DemoMode_DEF"="0"
"Fleshtone_ENABLE_DEF"="1"
"Denoise_DEF"="64"
"Detail_DEF"="10"
"ColorVibrance_DEF"="40"
"3to2Pulldown"=hex:31,00,00,00
"3to2Pulldown_DEF"="1"
"ColorVibrance_ENABLE_DEF"="1"
"Denoise_ENABLE_DEF"="1"
"Detail_ENABLE_DEF"="1"
"DynamicContrast_ENABLE_DEF"="1"
"StaticGamma"=hex:31,00,30,00,30,00,00,00
"DI_METHOD_DEF"="-1"
"MosquitoNoiseRemoval_DEF"="50"
"MosquitoNoiseRemoval_ENABLE_DEF"="1"
"Deblocking_DEF"="50"
"Deblocking_ENABLE_DEF"="1"
"BlueStretch_ENABLE_DEF"="1"
"InternetVideo_DEF"="0"
"OvlTheaterMode"=hex:30,00,00,00
"TrueWhite"=hex:30,00,00,00
"Denoise"=hex:36,00,34,00,00,00
"Denoise_ENABLE"=hex:31,00,00,00
"Detail"=hex:31,00,30,00,00,00
"Detail_ENABLE"=hex:31,00,00,00
"ColorVibrance"=hex:34,00,30,00,00,00
"ColorVibrance_ENABLE"=hex:31,00,00,00
"Fleshtone"=hex:35,00,30,00,00,00
"Fleshtone_ENABLE"=hex:31,00,00,00
"WhiteBalanceCorrection"=hex:30,00,00,00
"DynamicContrast_ENABLE"=hex:31,00,00,00
"LRTCCoef"=hex:31,00,30,00,30,00,00,00
"DI_METHOD"=hex:2d,00,31,00,00,00
"BlueStretch"=hex:31,00,00,00
"BlueStretch_ENABLE"=hex:31,00,00,00
"StaticGamma_ENABLE"=hex:30,00,00,00
"DynamicRange"=hex:30,00,00,00
"OverridePA"=hex:30,00,00,00
"DemoMode"=hex:30,00,00,00
"Deblocking"=hex:35,00,30,00,00,00
"Deblocking_ENABLE"=hex:31,00,00,00
"MosquitoNoiseRemoval"=hex:35,00,30,00,00,00
"MosquitoNoiseRemoval_ENABLE"=hex:31,00,00,00
"InternetVideo"=hex:30,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\VolatileSettings]
"{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"=hex:5c,00,3f,00,3f,00,5c,00,50,00,43,\
00,49,00,23,00,56,00,45,00,4e,00,5f,00,31,00,30,00,30,00,32,00,26,00,44,00,\
45,00,56,00,5f,00,36,00,38,00,45,00,34,00,26,00,53,00,55,00,42,00,53,00,59,\
00,53,00,5f,00,31,00,34,00,32,00,36,00,31,00,30,00,33,00,43,00,26,00,52,00,\
45,00,56,00,5f,00,30,00,30,00,23,00,34,00,26,00,31,00,66,00,35,00,38,00,66,\
00,34,00,37,00,31,00,26,00,30,00,26,00,30,00,30,00,30,00,38,00,23,00,7b,00,\
35,00,62,00,34,00,35,00,32,00,30,00,31,00,64,00,2d,00,66,00,32,00,66,00,32,\
00,2d,00,34,00,66,00,33,00,62,00,2d,00,38,00,35,00,62,00,62,00,2d,00,33,00,\
30,00,66,00,66,00,31,00,66,00,39,00,35,00,33,00,35,00,39,00,39,00,7d,00

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\4&28a682ac&0&0.1.0]
"DeviceDesc"="@cdrom.inf,%gencdrom_devdesc%;Unità CD-ROM"
"LocationInformation"="1"
"Capabilities"=dword:00000000
"HardwareID"=hex(7):49,00,44,00,45,00,5c,00,43,00,64,00,52,00,6f,00,6d,00,68,\
00,70,00,5f,00,43,00,44,00,44,00,56,00,44,00,57,00,5f,00,54,00,53,00,2d,00,\
4c,00,36,00,33,00,33,00,52,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,30,00,33,00,30,00,30,00,5f,00,5f,00,5f,00,5f,00,00,00,49,00,44,\
00,45,00,5c,00,68,00,70,00,5f,00,43,00,44,00,44,00,56,00,44,00,57,00,5f,00,\
54,00,53,00,2d,00,4c,00,36,00,33,00,33,00,52,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,5f,00,30,00,33,00,30,00,30,00,5f,00,5f,00,5f,00,5f,\
00,00,00,49,00,44,00,45,00,5c,00,43,00,64,00,52,00,6f,00,6d,00,68,00,70,00,\
5f,00,43,00,44,00,44,00,56,00,44,00,57,00,5f,00,54,00,53,00,2d,00,4c,00,36,\
00,33,00,33,00,52,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,00,00,68,00,70,00,5f,00,43,00,44,00,44,00,56,00,44,00,57,00,5f,00,54,00,\
53,00,2d,00,4c,00,36,00,33,00,33,00,52,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,30,00,33,00,30,00,30,00,5f,00,5f,00,5f,00,5f,00,00,\
00,47,00,65,00,6e,00,43,00,64,00,52,00,6f,00,6d,00,00,00,00,00
"CompatibleIDs"=hex(7):47,00,65,00,6e,00,43,00,64,00,52,00,6f,00,6d,00,00,00,\
00,00
"ContainerID"="{00000000-0000-0000-ffff-ffffffffffff}"
"Service"="cdrom"
"ClassGUID"="{4d36e965-e325-11ce-bfc1-08002be10318}"
"ConfigFlags"=dword:00000000
"Driver"="{4d36e965-e325-11ce-bfc1-08002be10318}\\0001"
"Class"="CDROM"
"Mfg"="@cdrom.inf,%genmanufacturer%;(Unità CD-ROM standard)"
"FriendlyName"="hp CDDVDW TS-L633R"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\4&28a682ac&0&0.1.0\Device Parameters]
"DefaultDvdRegion"=dword:00000002
"DefaultRequestFlags"=dword:00000008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\4&28a682ac&0&0.1.0\Device Parameters\DigitalAudio]
"ReadSizesSupported"=dword:ffffffff
"CDDASupported"=dword:00000001
"CDDAAccurate"=dword:00000001
"SettingsFromDevice"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\4&28a682ac&0&0.1.0\Device Parameters\Imapi]
"EnableImapi"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\4&28a682ac&0&0.1.0\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\4&28a682ac&0&0.1.0\Control]
"ActiveService"="cdrom"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\5&8f83f6a&0&1.0.0]
"DeviceDesc"="@cdrom.inf,%gencdrom_devdesc%;Unità CD-ROM"
"LocationInformation"="Channel 1, Target 0, Lun 0"
"Capabilities"=dword:00000000
"UINumber"=dword:00000000
"HardwareID"=hex(7):49,00,44,00,45,00,5c,00,43,00,64,00,52,00,6f,00,6d,00,68,\
00,70,00,5f,00,43,00,44,00,44,00,56,00,44,00,57,00,5f,00,54,00,53,00,2d,00,\
4c,00,36,00,33,00,33,00,52,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,30,00,33,00,30,00,30,00,5f,00,5f,00,5f,00,5f,00,00,00,49,00,44,\
00,45,00,5c,00,68,00,70,00,5f,00,43,00,44,00,44,00,56,00,44,00,57,00,5f,00,\
54,00,53,00,2d,00,4c,00,36,00,33,00,33,00,52,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,5f,00,30,00,33,00,30,00,30,00,5f,00,5f,00,5f,00,5f,\
00,00,00,49,00,44,00,45,00,5c,00,43,00,64,00,52,00,6f,00,6d,00,68,00,70,00,\
5f,00,43,00,44,00,44,00,56,00,44,00,57,00,5f,00,54,00,53,00,2d,00,4c,00,36,\
00,33,00,33,00,52,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,00,00,68,00,70,00,5f,00,43,00,44,00,44,00,56,00,44,00,57,00,5f,00,54,00,\
53,00,2d,00,4c,00,36,00,33,00,33,00,52,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,30,00,33,00,30,00,30,00,5f,00,5f,00,5f,00,5f,00,00,\
00,47,00,65,00,6e,00,43,00,64,00,52,00,6f,00,6d,00,00,00,00,00
"CompatibleIDs"=hex(7):47,00,65,00,6e,00,43,00,64,00,52,00,6f,00,6d,00,00,00,\
00,00
"ContainerID"="{00000000-0000-0000-ffff-ffffffffffff}"
"Service"="cdrom"
"ClassGUID"="{4d36e965-e325-11ce-bfc1-08002be10318}"
"ConfigFlags"=dword:00000000
"Driver"="{4d36e965-e325-11ce-bfc1-08002be10318}\\0000"
"Class"="CDROM"
"Mfg"="@cdrom.inf,%genmanufacturer%;(Unità CD-ROM standard)"
"FriendlyName"="hp CDDVDW TS-L633R ATA Device"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\5&8f83f6a&0&1.0.0\Device Parameters]
"DefaultDvdRegion"=dword:00000002
"DefaultRequestFlags"=dword:00000008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\5&8f83f6a&0&1.0.0\Device Parameters\Avio]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\5&8f83f6a&0&1.0.0\Device Parameters\DigitalAudio]
"ReadSizesSupported"=dword:ffffffff
"CDDASupported"=dword:00000001
"CDDAAccurate"=dword:00000001
"SettingsFromDevice"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\5&8f83f6a&0&1.0.0\Device Parameters\Imapi]
"EnableImapi"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\CdRomhp_CDDVDW_TS-L633R______________________0300____\5&8f83f6a&0&1.0.0\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\4&28a682ac&0&0.0.0]
"DeviceDesc"="@disk.inf,%disk_devdesc%;Unità disco"
"LocationInformation"="0"
"Capabilities"=dword:00000080
"HardwareID"=hex(7):49,00,44,00,45,00,5c,00,44,00,69,00,73,00,6b,00,53,00,41,\
00,4d,00,53,00,55,00,4e,00,47,00,5f,00,48,00,4d,00,36,00,34,00,31,00,4a,00,\
49,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,32,00,41,00,4a,00,31,00,30,00,30,00,30,00,33,00,00,00,49,00,44,00,45,\
00,5c,00,53,00,41,00,4d,00,53,00,55,00,4e,00,47,00,5f,00,48,00,4d,00,36,00,\
34,00,31,00,4a,00,49,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,32,00,41,00,4a,00,31,00,30,00,30,00,30,00,33,00,00,\
00,49,00,44,00,45,00,5c,00,44,00,69,00,73,00,6b,00,53,00,41,00,4d,00,53,00,\
55,00,4e,00,47,00,5f,00,48,00,4d,00,36,00,34,00,31,00,4a,00,49,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,00,00,53,\
00,41,00,4d,00,53,00,55,00,4e,00,47,00,5f,00,48,00,4d,00,36,00,34,00,31,00,\
4a,00,49,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,32,00,41,00,4a,00,31,00,30,00,30,00,30,00,33,00,00,00,47,00,65,\
00,6e,00,44,00,69,00,73,00,6b,00,00,00,00,00
"CompatibleIDs"=hex(7):47,00,65,00,6e,00,44,00,69,00,73,00,6b,00,00,00,00,00
"ContainerID"="{00000000-0000-0000-ffff-ffffffffffff}"
"Service"="disk"
"ClassGUID"="{4d36e967-e325-11ce-bfc1-08002be10318}"
"ConfigFlags"=dword:00000000
"Driver"="{4d36e967-e325-11ce-bfc1-08002be10318}\\0001"
"Class"="DiskDrive"
"Mfg"="@disk.inf,%genmanufacturer%;(unità disco standard)"
"FriendlyName"="SAMSUNG HM641JI"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\4&28a682ac&0&0.0.0\Device Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\4&28a682ac&0&0.0.0\Device Parameters\Partmgr]
"Attributes"=dword:00000000
"DiskId"="{b2583d52-4aa7-11e0-ad64-806e6f6e6963}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\4&28a682ac&0&0.0.0\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\4&28a682ac&0&0.0.0\Control]
"ActiveService"="Disk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\5&1bb1f00f&0&0.0.0]
"DeviceDesc"="@disk.inf,%disk_devdesc%;Unità disco"
"LocationInformation"="Channel 0, Target 0, Lun 0"
"Capabilities"=dword:00000000
"UINumber"=dword:00000000
"HardwareID"=hex(7):49,00,44,00,45,00,5c,00,44,00,69,00,73,00,6b,00,53,00,41,\
00,4d,00,53,00,55,00,4e,00,47,00,5f,00,48,00,4d,00,36,00,34,00,31,00,4a,00,\
49,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,32,00,41,00,4a,00,31,00,30,00,30,00,30,00,33,00,00,00,49,00,44,00,45,\
00,5c,00,53,00,41,00,4d,00,53,00,55,00,4e,00,47,00,5f,00,48,00,4d,00,36,00,\
34,00,31,00,4a,00,49,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,32,00,41,00,4a,00,31,00,30,00,30,00,30,00,33,00,00,\
00,49,00,44,00,45,00,5c,00,44,00,69,00,73,00,6b,00,53,00,41,00,4d,00,53,00,\
55,00,4e,00,47,00,5f,00,48,00,4d,00,36,00,34,00,31,00,4a,00,49,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,00,00,53,\
00,41,00,4d,00,53,00,55,00,4e,00,47,00,5f,00,48,00,4d,00,36,00,34,00,31,00,\
4a,00,49,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,\
00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,5f,00,\
5f,00,5f,00,32,00,41,00,4a,00,31,00,30,00,30,00,30,00,33,00,00,00,47,00,65,\
00,6e,00,44,00,69,00,73,00,6b,00,00,00,00,00
"CompatibleIDs"=hex(7):47,00,65,00,6e,00,44,00,69,00,73,00,6b,00,00,00,00,00
"ContainerID"="{00000000-0000-0000-ffff-ffffffffffff}"
"Service"="disk"
"ClassGUID"="{4d36e967-e325-11ce-bfc1-08002be10318}"
"ConfigFlags"=dword:00000000
"Driver"="{4d36e967-e325-11ce-bfc1-08002be10318}\\0000"
"Class"="DiskDrive"
"Mfg"="@disk.inf,%genmanufacturer%;(unità disco standard)"
"FriendlyName"="SAMSUNG HM641JI ATA Device"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\5&1bb1f00f&0&0.0.0\Device Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\5&1bb1f00f&0&0.0.0\Device Parameters\ATAport]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\5&1bb1f00f&0&0.0.0\Device Parameters\Avio]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\5&1bb1f00f&0&0.0.0\Device Parameters\Partmgr]
"Attributes"=dword:00000000
"DiskId"="{0db44785-4aa6-11e0-b3d1-806e6f6e6963}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskSAMSUNG_HM641JI_________________________2AJ10003\5&1bb1f00f&0&0.0.0\LogConf]

In entrambe c'è una chiave properties cui non è possibile accedere...

Grazie.

 

[Mursey]

@Dan63
Da documentazione Microsoft :

SID: S-1-5-21dominio-500
Nome: amministratore
Descrizione: Un account utente per l'amministratore di sistema.


Quindi non confondiamo le idee.
Tornando al topic... prova il kaspersy disk e vediamo che dice.

 

[condor67]

Non c'è nessuna infezione ne' recycler ne' i 2 file bios che sono entrambi legittimi ne' chiavi di registro.

edit:
Era riferito alla discussione" virus lucifero" e non a quella del topic.

 

[Modding]

Non c'è nessuna infezione ne' recycler ne' i 2 file bios che sono entrambi legittimi ne' chiavi ...

ti riferisci all'altro utente?
Potrei linkare anch'io il regedit di Windows qui?
Io credo che il rootkit agisce proprio sul regedit.In particolare forse su HKEY_Classes_Root (il primo in alto).
Perche`se provo a modificare le autorizzazioni di controllo mi esce una schermata tutta bloccata patinata in cui nn posso aggiungere altri proprietari/controllori e se doppio clicco nello spazio bianco al centro mi esce un popup con il controllore attuale che e`Everyone.
Non c'e`modo di toglierlo o cambiarlo e anche mettendo su nega controllo nella prima schermata a tutti gli altri possibili proprietari cmq ha privilegi maggiori dell'account admin quello root everyone.
Quindi il virus lancia quel che vuole nel sistema indisturbato e disattiva le protezioni firewall e antivirus.Mi e`successo proprio ieri infatti col portatile con XP che ha disattivato l'Antivirus e nn te lo fa piu`abilitare.
Non so se puo`c'entrare qualcosa ma avevo un trojan BHO (~Nsu.temp)
Che sono riuscito a rimuovere con alcuni tools di quelli che mi avete consigliato.Pero`quello reindirizza solo le pagine di Internet Explorer mi pare e non puo`riuscire a modificare l'intera chiave root di sistema durante l'installazione di Windows.
Il Rescue Disk e`una strada,l'altra sarebbe fermare nel O.S.le azioni del malware,ad esempio eliminando le chiavi di sistema che infetta/usa.
Togliendo dal disco rigido ogni traccia di file snapshots e VirtualMachine.
Infine disattivando ogni accesso remoto e condivisione file tra computer e settando rigide regole di criterio amministrativo.
Anche la strada del firewall che blocca tutte le porte UDP e pacchetti Icmp in ingresso e`buona ma nn so quanto efficace.
Mi spiegava un utente in Pm che se c'e`una backdoor sfrutta il reindirizzamento server mandando una richiesta Outport che quindi riceve in automatico e aggira il firewall.
Io nn so come funziona esattamente,magari se qualcuno di voi mi spiega provo a prendere qualche contromisura per quanto possibile.