www.MegaLab.it

[Giampy]

Quella cartella l'hanno visitata più volte diversi antivirus, antimalware, antihijack e nessuno ha trovato infezioni.

combofix,va oltre questi software trova cose che questi manco vedono

Prendo atto di quello che dici e ci credo, eppure non capisco perché quella cartella sia pericolosa. Ce l'ho da anni, ogni tanto apro i suoi files, non è mai successo niente, il PC ha sempre funzionato benissimo. Eppoi se anche contenesse un file maligno, Combofix poteva togliere solo quello, perché sradicare tutta la cartella?
Eppoi: perché ha cancellato dal disco D un file Txt che conteneva solo innocue scritte?
Boh. Secondo me sono "falsi positivi".

[hashcat]

Quelle modifiche "sospette" dovrebbero essere causate proprio da Returnil.

[GERONIMO*]

si potrebbe essere,non avevo neanche letto che avevi Returnil
comunque sulle macchine virtuali i tools per il mbr generano spesso errori
ad ogni modo esiste un rootkit detected NTDLL code modification:
ZwClose,,,di solito accompagnato da altre lettere
infatti ho detto sospetto

[hashcat]

[Giampy]

Visto che è saltato fuori questo "NTDLL code modification: ZwClose", per togliermi ogni dubbio ho eseguito sei scansioni Antirootkit, ovviamente in ambiente reale, non virtuale.

Combofix ha trovato quel rootkit tramite Catchme.exe, allora ho rieseguìto Catchme.exe, e quel rootkit viene ancora segnalato.
Poi ho fatto le altre cinque scansioni, con altrettanti programmi, ma nessuno di loro segnala infezioni.

A chi devo credere? A Catchme.exe o agli altri cinque programmi?

[stevens]

quoto Geronimo combofix rileva infezioni che altri tool se lo sognano, basti pensare che e' uno dei pochissimi tool se non l'unico che riconosce le infezioni del virus UKASH , malwarebytes se lo sogna, e poi se vogliamo dirla tutta a volte anche malwarebytes elimina dei file , cartelle o chiavi completamente legittini

una cosa la voglio dire anche io, anzi due

1 se non si e' seguiti da qualcuno che conosce combofix e' meglio lasciar perdere

2 all'utente che si lamenta tanto, se io fossi stato in combofix, se permetti, una cartella cosi' l'avrei eliminata senza pensarci due volte....ma puoi chiamare una cartella >>> C\x ???

[VincenzoGTA]

Parlo per esperienza personale: l'unica volta che ho beccato un virus tosto, ormai qualche anno addietro, è stata anche la prima volta che ho voluto provare combofix (mea culpa, con troppa leggerezza senza informarmi bene sull'uso) con il risultato che al riavvio il sistema non partiva più...

...ma puoi chiamare una cartella >>> C\x ???

Credo che ognuno possa nominare le cartelle come vuole, o no?

[GERONIMO*]

Visto che è saltato fuori questo "NTDLL code modification: ZwClose", per togliermi ogni dubbio ho eseguito sei scansioni Antirootkit, ovviamente in ambiente reale, non virtuale.

Combofix ha trovato quel rootkit tramite Catchme.exe, allora ho rieseguìto Catchme.exe, e quel rootkit viene ancora segnalato.
Poi ho fatto le altre cinque scansioni, con altrettanti programmi, ma nessuno di loro segnala infezioni.

A chi devo credere? A Catchme.exe o agli altri cinque programmi?

probabilmente è come dice hashcat
perché hai Returnil
magari se provi a rimuoverlo,probabilmente non ti uscirà più la segnalazione di combo o del tool pe controllare il MBR

[Giampy]

all'utente che si lamenta tanto

Vai su una Ferrari a 250 km/h eppoi scopri che non puoi fermarla. Come ti sentiresti?

ma puoi chiamare una cartella >>> C\x ???

In matematica la X è la variabile per eccellenza. Ho chiamato quella cartella X perché può contenere un po' di tutto. Ci metto ogni genere di file, tutta roba provvisoria da vedere, da provare, da modificare ecc... eppoi sposto ogni file nella cartella che gli spetta (spesso il file finisce nel cestino).

Se la chiamavo C:\Prove ti sarebbe piaciuta di più?

[Giampy]

probabilmente è come dice hashcat
perché hai Returnil
magari se provi a rimuoverlo,probabilmente non ti uscirà più la segnalazione di combo o del tool pe controllare il MBR

Ma hai letto quello che ho scritto?
Ho detto di aver provato Catchme.exe anche in ambiente reale e quel rootkit viene ancora segnalato.

[Giampy]

Forse Combofix ha un fratello:
http://dottech.org/84947/windows-remove ... wer-eraser

[stevens]

Vai su una Ferrari a 250 km/h eppoi scopri che non puoi fermarla. Come ti sentiresti?

prima di prendere ''la Ferrari'' mi assicuro di essere in grado di saperla guidare, altrimenti uso una Fiat 500.....semplice

in matematica la X è la variabile per eccellenza. Ho chiamato quella cartella X perché può contenere un po' di tutto.

ma questo combofix non lo sa, ha visto un carattere che non conosce, che non e' nel suo database e lo ha eliminato

se non si conoscono certi tool soprattutto molto potenti come combofix, non si usano!!!

La prossima volta usa hijackthis, ma leggilo soltanto senza toccare niente ( e' un consiglio)

[GERONIMO*]

non esiste antivirus o tool perfetto,tutti prendono sviste,certo chi di più e chi meno,combofix sicuramente sta nella categoria dei meno
hijackthis prende sviste pazzesche,stessa cosa emsisoft,stessa cosa Avast prende dei flash assurdi..non parliamo poi di GMER
forse veramente quelli che prendono meno sviste sono combofix,malwarebytes e superantispyware

rigardo al problema del mbr,io leggo bene,sei tu che non leggi bene ...se hai Returnil sul pc,è probabile che viene visto come un problema da Catchme.exe
che poi è integrato anche in combofix

vuoi fare un'altro controllo per sciogliere il dubbio?
fai questo
quello di Avast era ok

Scarica MBRCheck:
http://ad13.geekstogo.com/MBRCheck.exe
Salvalo direttamente in C:\
Chiudi tutti i programmiaperti
doppio click su MBRCheck ed attendi il termine della scansione.
Se esce:
Windows xp MBR code detected
Allora il pc è pulito.
Se esce:
Found non-standard or infected MBR
l'mbr è infetto.

[Giampy]

GERONIMO*, ho usato MBRCheck. Tutto bene. Grazie per l'indicazione!