Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Falso/positivo msconfig o ?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Falso/positivo msconfig o ?

Messaggioda miciotta » mar set 15, 2009 1:07 pm

sia ieri che oggi trovate queste 2 voci:

Immagine


http://i31.tinypic.com/2gwv0n4.jpg

falsi/positivi o ?

ma msconfig nella posizione windows..non e'
corretta ?

che dite ? che faccio con spywareterminator
Avatar utente
miciotta
Bronze Member
Bronze Member
 
Messaggi: 879
Iscritto il: ven dic 19, 2008 10:58 am

Re: Falso/positivo msconfig o ?

Messaggioda crazy.cat » mar set 15, 2009 2:31 pm

Li lasci in pace....
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Falso/positivo msconfig o ?

Messaggioda miciotta » mar set 15, 2009 4:16 pm

quindi li lascio stare ? non infezioni ?

ma msconfig e' giusto li in system 32 ?
Avatar utente
miciotta
Bronze Member
Bronze Member
 
Messaggi: 879
Iscritto il: ven dic 19, 2008 10:58 am


Re: Falso/positivo msconfig o ?

Messaggioda ste_95 » mar set 15, 2009 4:43 pm

miciotta ha scritto:ma msconfig e' giusto li in system 32 ?

Sì. [std]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Falso/positivo msconfig o ?

Messaggioda Matilda12 » mar set 15, 2009 8:45 pm

A occhio, mi sembra la finestra report di Spyware Terminator ... mi pare strano che questo programma commetta una "cappella" simile per msconfig ...
Non è che potrebbe essere stato infettato in qualche maniera?
Mi permetto di suggerirti:
1) aspetta il rilascio di una nuova versione del database di Spyware Terminator (potrebbero anche essersi sbagliati ... AVG insegna [rolleyes] );
2) puoi far scansionare il file dal tuo antivirus o da qualche servizio on-line (tipo VirusTotal).

Magari sto prendendo una cantonata bestiale, però, siccome credo che il file "msconfig.exe" sia stato rilasciato da Microsoft "uguale per tutti", puoi prendere l'hash del file (sarebbe l'impronta digitale del file) e postarla qui sul forum. Se decidi di farlo, precisa il tuo S.O..
Per il Vista dove sono ora è: 7629e9bb2ff06eaca62580a2c1d4fe6a (hash - MD5). Versione del file: 6.0.6001.18000.
Se vuoi un programmino per prendere l'impronta digitale, tra i tanti, puoi prelevare questo: DPASHA.

Abbiate pazienza se ho detto troppe stupidaggini ... e correggetemi, così imparo!!! [std]
[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Re: Falso/positivo msconfig o ?

Messaggioda miciotta » mer set 16, 2009 9:15 am

infatti aspetto....

virus total su 40 solo 6 danno infetto !

kaspersky dice di no !

sul forum di spyware dicono:

"Yeah, it's a false positive. Threat Expert shows it behaving just as the normal version would. Strange that it was in the system directory though. "

che pare sia un faslo/positivo ma NON dovrebbe trovarsi li ! bel mistero allora....che sia
una infezione davvero ?


dove dovrebbe stare msconfig.exe e a che serve ? grazieee [8)]
Avatar utente
miciotta
Bronze Member
Bronze Member
 
Messaggi: 879
Iscritto il: ven dic 19, 2008 10:58 am

Re: Falso/positivo msconfig o ?

Messaggioda developerwinme » mer set 16, 2009 9:24 am

Ne avevamo già parlato: anche Antivir rileva il file come nocivo: http://www.MegaLab.it/forum/sicurezza/sospetto-falso-positivo-avira-file-msconfig-di-winxp-t56580.html

[ciao]
PC: ASUS X53S (Intel Core i7-2670QM 2.20 Ghz, RAM 8 GB, NVIDIA GeForce GT520MX, Windows 8 Pro)
Mobile: Nokia Lumia 710 (CPU 1,4 Ghz, RAM 512 MB, Windows Phone 7.8)
--
developerwinme.wordpress.com
Avatar utente
developerwinme
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5014
Iscritto il: mar dic 30, 2008 7:00 pm
Località: Como

Re: Falso/positivo msconfig o ?

Messaggioda Matilda12 » mer set 16, 2009 6:02 pm

crazy.cat ha scritto:Li lasci in pace....


Mi permetto di dire: il suggerimento più corretto! [;)] ... almeno per ora! [:D]

[ciao]
Matilda12

---EDIT---
Aggiungo, citando Ste_95:
ste_95 ha scritto:
miciotta ha scritto:ma msconfig e' giusto li in system 32 ?

Sì. [std]


Almeno da me si trova in quella posizione ...
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Re: Falso/positivo msconfig o ?

Messaggioda miciotta » gio set 17, 2009 8:47 am

ottimo grazie...ma allora perche epserto del forum
spywaretermiantor dice che non gli quadra
in quella posizione...mistero!
Avatar utente
miciotta
Bronze Member
Bronze Member
 
Messaggi: 879
Iscritto il: ven dic 19, 2008 10:58 am

Re: Falso/positivo msconfig o ?

Messaggioda miciotta » gio set 17, 2009 12:57 pm

a cosa serve ? ma sopratutto quale e' la
sua posizione ?

c:\windows\system32\msconfig.exe

di ben 168 kb corretta?

spywareterminator dice che e' un trojan...
ma con virustotal solo 6 su 40 dice di si.

in win XP e' giusta quella posizione ?

il mio collega sul suo pc ne ha uno solo e in :

C:\WINDOWS\pchealth\helpctr\binaries

che faccio lo cancello quello in system 32 ? help
Avatar utente
miciotta
Bronze Member
Bronze Member
 
Messaggi: 879
Iscritto il: ven dic 19, 2008 10:58 am

Re: Falso/positivo msconfig o ?

Messaggioda Matilda12 » gio set 17, 2009 9:07 pm

Non prendere per "la verità" quanto sto per dirti, comunque io la storia la so così: msconfig.exe è, praticamente, un tool di Microsoft che serve per gestire processi e servizi del sistema operativo. Consente di selezionare che cosa deve e/o può partire all'avvio di Windows. Questa la sostanza.
Se non erro, in Windows XP non era installato di default, ma bisognava scaricarlo ...
I due esperti che ti hanno risposto prima, in sostanza, ti hanno detto: lascia (per ora, almeno) le cose come stanno.
Spyware Terminator è, secondo me, un buon programma ... a volte però un tantino suscettibile!
Comunque, proprio stasera, ho fatto girare Spyware Terminator in un pc con Vista e non ha rilevato infezioni nel file msconfig.exe; le definizioni erano aggiornate ad oggi.
Prova a:
1) aggiornare Spyware Terminator;
2) fare una scansione per vedere cosa ti dice;
3) prendere l'impronta digitale del file, così la confrontiamo con la mia.

[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Re: Falso/positivo msconfig o ?

Messaggioda miciotta » ven set 18, 2009 9:43 am

cancellato...tutto ok! era davvero una infezione . grazie.
Avatar utente
miciotta
Bronze Member
Bronze Member
 
Messaggi: 879
Iscritto il: ven dic 19, 2008 10:58 am

Re: Falso/positivo msconfig o ?

Messaggioda Matilda12 » ven ott 09, 2009 10:56 am

miciotta ha scritto:cancellato...tutto ok! era davvero una infezione . grazie.
[uhm]
Non lo so ...
Il bello è che, stamattina, mi metto a fare un po' di prove con diverse macchine. Temo che la farò lunga ... [weponed]
Situazione di partenza:
1) tre elaboratori a disposizione con, nell'ordine, Windows 2000 Professional, XP Professional e Vista Business (tutti aggiornati);
2) SpywareTerminator v 2.6.1.239, aggiornato allo stesso momento su tutti gli elaboratori.

Faccio fare la scansione a SpywareTerminator, medesime impostazioni sui tre calcolatori, tranne che per quello con Win2000, dove a SpywareTerminator è integrato anche Win ClamAV Antivirus.
Esito delle scansioni: XP e Vista puliti, mentre in 2000 mi viene segnalato, come a Miciotta (inciso @Miciotta: complimenti per l'intraprendenza di andare a segnalare la faccenda anche sul forum di SpywareTerminator! [;)] ), che il file "msconfig.exe" è infetto. Medesimo malware indicato da Miciotta.
Ho pensato che la questione potesse dipendere dall'antivirus integrato, quindi ripeto tutte le operazioni sulla macchina con Win2000 (l'unica differenza rispetto alle altre, ribadisco, era questa), disattivando però, in fase di scansione, il controllo con l'antivirus. Nicht: SpywareTerminator segnala sempre la presenza del trojan.
Deduco quindi che è il "motore" dell'anti-spyware a rilevarlo e non Win ClamAV.

Però c'è un fatto: "... chi utilizza Windows 2000 non dispone di msconfig, una utilità di sistema che consente di verificare quali applicazioni vengono avviate allo startup. E' possibile ovviare a questa mancanza utilizzando l'msconfig di Windows XP ... Per Windows 2000 dovete copiarlo in C:\WINNT\system32. ..."
Informazioni (all'epoca) presa da QUI.

Passo successivo:
- apro un programmino per fare il confronto tra hash;
- prendo l'impronta digitale del file presente sotto C:\WINNT\system32 e la confronto con il file che (sempre all'epoca) avevo recuperato.
Esito: hash differenti ... [...]

Allora inizio ad insospettirmi ... premetto che non credo che il file rilevato da SpywareTerminator fosse veramente infetto, comunque, l'ho caricato su diversi virus scanner on-line. A seguire gli esiti.
VirusTotal
Viruschief
VirusScan
VirScan

Finale:
+ ho riportato la rilevazione di SpywareTerminator come un falso positivo al suo sviluppatore (vedremo [boh] );
+ ho messo in quarantena, con SpywareTerminator, il file incriminato;
+ ho ri-piazzato il file msconfig.exe che avevo "in magazzino" in C:\WINNT\system32.

Per curiosità, ho rifatto la scansione del file msconfig.exe, custodito nel mio magazzino programmi, con il servizio on-line offerto da VirusTotal. QUESTO l'esito.
Ah ... osservando le proprietà dei due file (msconfig infetto per SpywareTerminator e msconfig del mio magazzino), la versione dell'archivio era esattamente la medesima (cambiava la dimensione, quello "pulito" è più grande di qualche KB).

Della questione si era parlato anche QUI, come segnalato da Developerwinme (Dev, t'ho messo anche il link al profilo! [bleh] ).

Grazie per la pazienza!!! ... ma sempre se qualcuno volesse riportare la sua esperienza ... mal comune, mezzo gaudio. [:-H]
[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Re: Falso/positivo msconfig o ?

Messaggioda Bloox » mar ott 13, 2009 2:51 pm

Ciao, inanzitutto controlla nel taskmanager se e' presente msconfig (non deve esserci) poi se puoi, prendi msconfig.exe, zippalo e fai un upload da qualche parte cosi' che posso scaricarlo e analizzarlo.

POTREBBE trattarsi di un worm ma non ti allarmare ti faro' sapere meglio se riesci a fare quanto ti ho detto.
Ati4870 512MB GDDR5 - P45TurboTwins2000 - LcPOWER 600W Silent - Seagate500GB 32MB x2 - DDR2800Mhz Corsair XMS2 4GB -INTEL CORE 2QUAD Q9650 3.0Ghz 12MB
Avatar utente
Bloox
Aficionado
Aficionado
 
Messaggi: 47
Iscritto il: mar ott 13, 2009 5:24 am

Re: Falso/positivo msconfig o ?

Messaggioda developerwinme » mar ott 13, 2009 3:04 pm

Per Matilda: provato a verificare che il file sia firmato digitalmente da Microsoft? In tal caso è ovviamente sicuro.

Matilda12 ha scritto:Developerwinme (Dev, t'ho messo anche il link al profilo!).


Grazie [^] [;)] Mi faccio un po di pubblicità [sh] [banned?]

[ciao]
PC: ASUS X53S (Intel Core i7-2670QM 2.20 Ghz, RAM 8 GB, NVIDIA GeForce GT520MX, Windows 8 Pro)
Mobile: Nokia Lumia 710 (CPU 1,4 Ghz, RAM 512 MB, Windows Phone 7.8)
--
developerwinme.wordpress.com
Avatar utente
developerwinme
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5014
Iscritto il: mar dic 30, 2008 7:00 pm
Località: Como

Re: Falso/positivo msconfig o ?

Messaggioda Matilda12 » ven ott 16, 2009 11:06 pm

Grazie Ragazzi per il vostro contributo! [^]
Dunque, tirando un po' le fila ...

Secondo me, il primo punto è questo:
me medesimo ha scritto:... Però c'è un fatto: "... chi utilizza Windows 2000 non dispone di msconfig, una utilità di sistema che consente di verificare quali applicazioni vengono avviate allo startup. E' possibile ovviare a questa mancanza utilizzando l'msconfig di Windows XP ... Per Windows 2000 dovete copiarlo in C:\WINNT\system32. ..." ...

Quindi, all'epoca, presi il file dal mio XP, lo misi in C:\WINNT\system32 e un'ulteriore copia in una cartella del mio magazzino programmi (sotto la directory dei software dedicati a 2000).
Assunto che 2000 non doveva avere questo file, non credo che con Windows Update si sarebbe potuto modificare ... perché in realtà non doveva esserci. Sta di fatto che il file presumibilmente infetto (ripeto, credo comunque che non lo fosse) era differente (ho confrontato i valori di hash) da quello "originale", conservato a parte. Questo mi ha un po' insospettito.
Inoltre: ho fatto un update del sistema ed il file è rimasto quello che avevo rimesso io. Non ultimo, ho controllato con Belarc Advisor eventi hotfix mancati o non correttamente installati: tutto regolare.

Ed ancora ...
Bloox ha scritto:Ciao, inanzitutto controlla nel taskmanager se e' presente msconfig (non deve esserci) poi se puoi, prendi msconfig.exe, zippalo e fai un upload da qualche parte cosi' che posso scaricarlo e analizzarlo.

POTREBBE trattarsi di un worm ma non ti allarmare ti faro' sapere meglio se riesci a fare quanto ti ho detto.

Onestamente non ho pensato, al momento della rilevazione, di andare a guardare nel task manager.
Confermo che, adesso, non c'è (ma ormai ho svolto le opere di pulizia).
Il file (sempre presumibilmente) infetto è nella quarantena di Spyware Terminator ed ho rimpiazzato con la copia nel mio magazzino programmi. Bloox, se non ti dispiace, adesso preferire non stuzzicarlo. Comunque grazie per il tuo aiuto! [brindisi]

developerwinme ha scritto:Per Matilda: provato a verificare che il file sia firmato digitalmente da Microsoft? In tal caso è ovviamente sicuro. ...

Quando è stata segnalata l'infezione mi sembra di essere andato a guardare tra le proprietà, ma da nessuna parte ho trovato la firma digitale di Microsoft.
Peraltro, nemmeno con quello che ho messo nuovo ho questa informazione.

Finale: adesso vado avanti così.
Ogni tanto presto attenzione al file che ho in C:\WINNT\system32, per monitorare eventuali cambiamenti.

Grazie ancora!!! ... chissà che non fosse veramente una infezione.
Ah, ovviamente l'attuale msconfig funziona regolarmente (come il presunto infetto, tuttavia ...).

[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Re: Falso/positivo msconfig o ?

Messaggioda miciotta » lun ott 19, 2009 10:34 am

io l'ho cancellato e sino ad ora tutto ok ! ciaooo
Avatar utente
miciotta
Bronze Member
Bronze Member
 
Messaggi: 879
Iscritto il: ven dic 19, 2008 10:58 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising