www.MegaLab.it

[devicepenguin]

Da qui viewtopic.php?f=16464&t=80560&p=648020#p648020 ecco i risultati ..
MI ha dato unn solo log,ma se necessario rifaccio il tutto .

PS. Io ho eseguito quel file..(Trojan.Zbot) come mai non mi ha colpito (se non ha colpito)



Link a Log http://wikisend.com/download/578716/OTL.Txt


Ah Visto che ci sono...perché OA mi dice >>>

[hashcat]

Non vedo tracce di infezione: mancano le cartelle con nomi pseudocasuali generate in %Temp% ed %AppData% così come le relative voci nel registro di sistema.

Ipotesi: forse la sandbox di Comodo ha impedito la corretta esecuzione della minaccia oppure, cosa più probabile, hai eseguito il file senza rinominarlo in .exe



Per la seconda richiesta, non saprei, devo dire che il modulo Anti-Keylogger di Online Armor è piuttosto efficiente e sensibile, probabilmente l'avviso è causato dalla funzionalità legittima del software che (forse) prova a leggere gli appunti di sistema o ad interagire con la tastiera.

Comodo demanda molte delle operazioni di controllo / restrizione alla sandbox (se attiva) riducendo notevolmente il numero di avvisi, purtroppo ciò non è sempre la scelta migliore perché l'utilizzo di questo modulo, diminuisce anche la granularità del controllo e (potenzialmente) diminuisce l'efficacia dello stesso.

P.S.: Il dominio che la minaccia cerca di contattare per inviare i dati rubati, ricevere aggiornamenti e svolgere operazioni sul sistema infetto non sembra essere attivo.

[devicepenguin]

Ok..
PS.Non ho attiva la sandbox di Comodo .

Per il rilevamento (dopo che ho fatto un restore immagine OS e disisntallato Comodo mettendo su OA) Anti-Keylogger di Online Armor, vedo che ricevo lo stesso avviso anche per il Mobile Pertner (di Wind) e altri programmi.

Levami una curiosità,ma come mai eseguendo quel file non vedevo nessuna immagine ...e facendo la scansioni incrociate (Malwarebytes ecc) risultava il sistema pulito,mentre se mandavo il file su VTotal ,mi veniva riconosciuto come malware?

Insomma , il file è infetto ma eseguendolo sul mio computer , quest'ultimo risulta pulito

Dici che è inutile fare un restore (un altro )immagine compreso dll'mbr?

[hashcat]

Levami una curiosità,ma come mai eseguendo quel file non vedevo nessuna immagine ...e facendo la scansioni incrociate (Malwarebytes ecc) risultava il sistema pulito,mentre se mandavo il file su VTotal ,mi veniva riconosciuto come malware?

Insomma , il file è infetto ma eseguendolo sul mio computer , quest'ultimo risulta pulito

Avevi rinominato il file in .exe ? Se si, non saprei. Domani ci rifletto su.

Dici che è inutile fare un restore (un altro )immagine compreso dll'mbr?

Si (è inutile), questo famiglia di minacce non tocca il MBR.

[devicepenguin]

Ok..
No,non avevo rinominato il file: scaricato+ decompresso (con la 'solita' password) e fatto doppio click (si è aperto il visualizzatore immagini di Windows,ma non vedevo un bel niente

[hashcat]

Ok..
No,non avevo rinominato il file: scaricato+ decompresso (con la 'solita' password) e fatto doppio click (si è aperto il visualizzatore immagini di Windows,ma non vedevo un bel niente

Allora puoi stare tranquillo, se non viene rinominato in eseguile è innocuo (in particolare se il sistema operativo è aggiornato).

[devicepenguin]

Well. Soddisfatto