www.MegaLab.it

[_Marco_]

Ciao Leofelix!!
Sì, in effetti non era una rootkit, ma un Adware. Cosa che poi ho letto meglio sul log di AswMBR. Per quannto riguarda Avast!, la funzione PUP è attivata, ma caso strano, fa quanto tu dici, pur avendo questa opzione inserita, non mi è stato rivelato nulla. Ho fatto anche la scansione completa, durata circa un'ora e qualcosa, sempre con Avast!,ma nulla. Solamente eliminando manualmente questo Adware, non mi è ricomparso più in AswMBR. Fatta una scansione con il medesimo, non ha rilevato nulla. Per quanto riguarda la scelta di utilizzare i programmi che hai menzionato, per il momento rimango con AMBR. Ho saputo infatti che, nonostante il programma non sia proprio dei nuovi, viene aggiornato. Quindi, spero di essere al sicuro!! Eh, adesso come adesso, con tutti i Malware, Trojan e compagnia, una buona difesa serve eccome!!!
Per favore, correggimi se sbaglio se AMBR non viene aggiornato.
Ti ringrazio!!

[leofelix]

Ciao Leofelix!!
Sì, in effetti non era una rootkit, ma un Adware. Cosa che poi ho letto meglio sul log di AswMBR. Per quannto riguarda Avast!, la funzione PUP è attivata, ma caso strano, fa quanto tu dici, pur avendo questa opzione inserita, non mi è stato rivelato nulla. Ho fatto anche la scansione completa, durata circa un'ora e qualcosa, sempre con Avast!,ma nulla. Solamente eliminando manualmente questo Adware, non mi è ricomparso più in AswMBR. Fatta una scansione con il medesimo, non ha rilevato nulla. Per quanto riguarda la scelta di utilizzare i programmi che hai menzionato, per il momento rimango con AMBR. Ho saputo infatti che, nonostante il programma non sia proprio dei nuovi, viene aggiornato. Quindi, spero di essere al sicuro!! Eh, adesso come adesso, con tutti i Malware, Trojan e compagnia, una buona difesa serve eccome!!!
Per favore, correggimi se sbaglio se AMBR non viene aggiornato.
Ti ringrazio!!

Ciao _Marco_
Visto che l'adware rilevato era un residuo in una cartella di files remporanei, forse avevi eliminato già i files temporanei in questione (non so, con CCleaner).
In ogni caso quel tipo di adware è rilevato solo da due o tre antivirus/antimalware quindi potrebbe essere anche un falso positivo o qualcosa che in ogni caso non ha apportato grossi danni al sistema (o presumo che te ne saresti accorto dalla presenza di pop up, finestrelle pubblicitarie, reindirizzamenti del browser verso siti indesiderati, motore di ricerca del browser modificato, presenza di strane toolbar o gadgets etc etc)

In quanto a AMBR, non viene aggiornato solo se si ha Avast antivirus già installato nel sistema.

Lieto di esserti stato di aiuto in qualche modo.

ah per la cronaca: Dr.Web CureIt rileva come infetto l'eseguibile di Malwarebytes' Anti-Rootkit beta ROFTL. Ho segnalato il falso positivo alla Dr.Web Inc (solitamente molto rapidi nelle riposte e analisi)

[_Marco_]

Ciao Leofelix!!
Mah', a dirti la verità faccio un massiccio uso di CCleaner. Molto probabile che lo avessi già eliminato ( ma non si spiega come fosse presente ad ogni scansione ). Potrebbe essere stato si, un falso positivo, ma ad ogni modo che sia vero, che sia falso, l'ho eliminato! Grossi danni al Sistema non ne ho avuti, e spero di non averne mai!
Grazie di tutto!!!
Ciao!!

[manero478]

cara crazy.cat
ho lanciato per 3 volte aswMBR e:
la prima volta mi ha bloccato il pc, ho dovuto resettare.. (avevo dei prog in esecuzione e l'ho imputato a quello)
la seconda si e bloccato qui vedi immagine :
http://img819.imageshack.us/img819/5985/aswmbr.jpg
(avevo fatto degli aggiornamenti di windows e non ero ripartito, così l'ho imputato a questo)
la terza volta nessun prog in esecuzione, a parte l'antivirus..
e si e' bloccato nello stesso punto vedi immagine sopra ...

Che cosa puo' essere???

ciao

[crazy.cat]

cara crazy.cat

Giusto per la cronaca, mi chiamo Marco... ...cara...cara...

Non saprei cosa dire, ho provato il programma a casa su due pc con windows 7 a 64 bit e poi anche al lavoro e non ho riscontrato problemi nel suo utilizzo.

[devicepenguin]

ho lanciato per 3 volte aswMBR e:
......... ecc

Che cosa puo' essere???

ciao

Niente di buono. Quando programmi del genere si bloccano durante l'utilizzo,al 90 e passa % è perché il malware di turno ne impedisce l'esecuzione

[manero478]

Scusami Marco
Non so' perche'..eppure sono anni che parliamo... ;)
comunque ho provato anche a rinominare il prog in svchost.exe per vedere se cambiava qualcosa..
perche come dice :

Niente di buono. Quando programmi del genere si bloccano durante l'utilizzo,al 90 e passa % è perché il malware di turno ne impedisce l'esecuzione

non e' cambiato nulla...
si blocca sempre sullo stesso punto e STESSO FILE...
puo' essere significativo?
si puo rimuovere quel file?..
Potrebbe anche essere ...
In ogni caso.. cosa si puo' fare?

grazie

[manero478]

per il FILE in questione.. ho fatto una ricerca, mettendo che potevo vedere tutto..
ma sembra che non esiste.. nemmeno il percorso "GAC_MSIL"
a sto punto non ci capisco piu nulla :(

[manero478]

ulteriori sviluppi :
Ho lanciato Malwarebytes Anti-Malware in scansione veloce.. ha trovato 3 PUP, questo e' il log:

Malwarebytes Anti-Malware 1.65.1.1000
http://www.malwarebytes.org

Versione database: v2012.11.14.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Gilberto :: GILBERTOC-PC [amministratore]

14/11/2012 22:22:46
mbam-log-2012-11-14 (22-22-46).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 211400
Tempo impiegato: 7 minuti, 33 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 1
C:\Users\Gilberto\Downloads\finalmediaplayer_732.exe (PUP.BundleOffers.IIQ) -> Spostato in quarantena ed eliminato con successo.

(fine)

Poi ho riprovato aswMBR, ma stesso risultato su stesso file...
Allora ho scaricato e lanciato MalwareBytes Anti-Rootkit BETA..
Scansione pulita...
Quindi e' sempre piu strano che aswMBR, non vada..

Ciao