Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

[RISOLTO] Malware o falsi positivi? Opzioni
alfredot
Inviato: Monday, February 27, 2012 4:10:56 PM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Buongiorno Miticoalex. Eccvo qui :)

Dando una pulita al PC ho trovato:

1. C:\arcldr.exe.
Scannerizzandolo con VirusTotal mi dà 1 positivo su 43
http://imageshack.us/photo/my-images/857/arcldrexe.jpg/
E' pericoloso e ed eliminato o depurato in qualche modo?
Non trovo la firma, ma, dalle Proprietà, sembra un file che lavori in DOS

2. C:\WINNT\system32\USERINIT.EXE
Scannerizzando il disco con SUPERAntiSpyware mi dà un bandito.
http://imageshack.us/photo/my-images/10/userinitexe.jpg/
Ho riavviato come richiesto, ma... non si depura!

Poi, scannerizzando il disco H: ho trovato:
http://imageshack.us/photo/my-images/3/saswsuh.jpg/
Che compaiono anche scannerizzando con Malwarebytes!

Grazie

PS: come si cancella l'altro thread?
Sponsor
Inviato: Monday, February 27, 2012 4:10:56 PM

 
miticoalex
Inviato: Tuesday, February 28, 2012 2:36:31 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
alfredot ha scritto:
Ecco qui :)

Dando una pulita al PC ho trovato:

1. C:\arcldr.exe.
Scannerizzandolo con VirusTotal mi dà 1 positivo su 43
http://imageshack.us/photo/my-images/857/arcldrexe.jpg/
E' pericoloso e ed eliminato o depurato in qualche modo?
Non trovo la firma, ma, dalle Proprietà, sembra un file che lavori in DOS?


Ciao alfredot. Visto la ressa che si creata, provo a risponderti io; questo file di cui sopra,

non lo conosco, per individuare la firma, posizionati sul file, e dovresti scorgere una finestra riportate alcune informazioni.

Trattandosi di una pericolosità 1/43, presumo trattasi di falso positivo. Controlla anche con malwarebytes.

Commenta:
2. C:\WINNT\system32\USERINIT.EXE
Scannerizzando il disco con SUPERAntiSpyware mi dà un bandito.
http://imageshack.us/photo/my-images/10/userinitexe.jpg/
Ho riavviato come richiesto, ma... non si depura!


Come già dettoti, questo secondo la sua collocazione non abituale, è da considerasi malevolo. Prova a rimuoverlo in
modalità provvisoria.

Commenta:
Poi, scannerizzando il disco H: ho trovato:
http://imageshack.us/photo/my-images/3/saswsuh.jpg/
Che compaiono anche scannerizzando con Malwarebytes!


Se hai attivato il ripristino di configurazione per questo disco, disattivalo, e rifai la scansione.

Commenta:
PS: come si cancella l'altro thread?


L'unico delegato a farlo, è il web master, e quindi...........

Se non risolvi, disattiva il ripristino di configurazione, ed avvia la scansione in modalità provvisoria.

Ciao :-)


alfredot
Inviato: Tuesday, February 28, 2012 4:12:13 PM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Grazie Miticoalex

questo file di cui sopra,

Commenta:
non lo conosco, per individuare la firma, posizionati sul file, e dovresti scorgere una finestra riportate alcune informazioni.

http://imageshack.us/photo/my-images/263/arcldrcarattere.jpg/
http://imageshack.us/photo/my-images/846/arcldrcompatibilit.jpg/
http://imageshack.us/photo/my-images/687/arcldrmemoria.jpg/
http://imageshack.us/photo/my-images/37/arcldrprogramma.jpg/
http://imageshack.us/photo/my-images/585/arcldraltre.jpg/
http://imageshack.us/photo/my-images/833/arcldrschermo.jpg/


Commenta:
Controlla anche con malwarebytes.

Non mostra problemi.


Commenta:
Come già dettoti, questo secondo la sua collocazione non abituale, è da considerasi malevolo. Prova a rimuoverlo in modalità provvisoria.

Fatto! :)

Commenta:
Se non risolvi, disattiva il ripristino di configurazione, ed avvia la scansione in modalità provvisoria

Poco fa l'ho fatto e c'erano ancora dei malware.

E questo è il risultato dello scanning in modalità provvisoria di tutti i dischi
http://imageshack.us/photo/my-images/140/saswtutto.jpg/

Eccherottura!!!

Sono andato per eliminare il programma archiviato "Download per Ad-Aware", ma era già stato eliminato!
Ho cancellato la directory vuota ed ho fatto ansare SuperantiSpyware in modalità normale e...
http://imageshack.us/photo/my-images/840/saswsuh.jpg/

E una scansione con ViritLite non ha dato positivi!

Grazie Miticoalex!
miticoalex
Inviato: Wednesday, February 29, 2012 7:47:04 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
alfredot ha scritto:


Alfredot, intendevo posizionarti sul file arcldr, e dovevi scorgere la firma digitale dell'eseguibile. Ad ogni modo, qui vien

scritto: i file Ntldr, Ntdetect.com, Arcsetup.exe e Arcldr.exe utilizzati per l'avvio di vari computer.

Oppure hai già risolto?

Ciao


alfredot
Inviato: Thursday, March 01, 2012 10:35:23 AM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Ciao Miticoalex.

Commenta:
Alfredot, intendevo posizionarti sul file arcldr, e dovevi scorgere la firma digitale dell'eseguibile

Ho provato e riprovato con altri file exe (ed anche .bat) ma non si vede niente.
Forse intendi quel popup giallo, ma qui... nulla!
In Proprietà, di certi file, ho visto che c'è un settore con Firma, ma non qui! :(

Comunque, una volta cancellato, il file non è più comparso.

Commenta:
Ad ogni modo, qui viene scritto: omissis

Commenta:
Questo articolo riguarda una versione di Windows diversa da quella attualmente in uso

In ogni modo, cita:
In Windows sono previste due opzioni di ripristino: ripristino rapido e ripristino manuale.
Non saprei come eseguirne alcuna delle due: dovrei cercare come l'ultima volta

Stamane facendo andare superantisptware su C mi ha trovato due malware ma non erano quelli precedenti.

Commenta:
Oppure hai già risolto?

Non ne ho idea.
Ti farò sapere non appena avrò verificato più di una volra!

Grazie! :)
miticoalex
Inviato: Thursday, March 01, 2012 1:04:45 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
alfredot ha scritto:
Forse intendi quel popup giallo, ma qui... nulla!
In Proprietà, di certi file, ho visto che c'è un settore con Firma, ma non qui! :(

Comunque, una volta cancellato, il file non è più comparso.:)


Si intendo il popup giallo.

Commenta:
In Windows sono previste due opzioni di ripristino: ripristino rapido e ripristino manuale. [/i][/b]
Non saprei come eseguirne alcuna delle due: dovrei cercare come l'ultima volta


Non devi fare nessun ripristino. L'avevo messo, solo a titolo informativo.

Commenta:
Stamane facendo andare superantispyware su C mi ha trovato due malware ma non erano quelli precedenti.


Alfredot, non è detto che tutto quel che trova superantispy. sia nocivo. Certo devi controllare di che file si tratta.

Ciao


alfredot
Inviato: Thursday, March 01, 2012 4:31:54 PM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Grazie Miticoalex!

Rimango in Defcon 4 ;)
miticoalex
Inviato: Thursday, March 01, 2012 6:45:48 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
E quindi hai risolto?

Bye




alfredot
Inviato: Friday, March 02, 2012 9:37:23 AM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Allora, l'ultimo scan dà:
http://imageshack.us/photo/my-images/802/scan2312.jpg/

A me non sembra che siano gli stessi incriminati, no?
Se me lo confermi, tranquillizzandomi, risalgo a Defcon 5 e ti invito a festeggiare (poi mi racconti, eh?) ;)
http://imageshack.us/photo/my-images/708/hurray2.jpg/

Anche perchè credo che tu debba rilassarti e riprenderti prima di irrompere in quanto mi avevi detto di lasciar aspettare ;)
miticoalex
Inviato: Friday, March 02, 2012 2:01:52 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
alfredot ha scritto:
Allora, l'ultimo scan dà:
http://imageshack.us/photo/my-images/802/scan2312.jpg/

A me non sembra che siano gli stessi incriminati, no?


Infatti sono cookie, che puoi eliminare anche con ccleaner prima.

Ciao


alfredot
Inviato: Friday, March 02, 2012 2:19:02 PM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Mi hai preceduto di un pelo! :)


Commenta:
Infatti sono cookie, che puoi eliminare anche con ccleaner prima.

Infatti di solito lo faccio, ma adesso 'sta roba mi sta stressando!
Ho letto che erano cookies, ma non ero certo che lo fossero davvero!

Adesso, però, c'è questo .exe nella sezione PUP
http://imageshack.us/photo/my-images/51/scan2312.jpg/

Devo allarmarmi di non avere risolto o fa parte della normale zavorra che entra?
miticoalex
Inviato: Friday, March 02, 2012 2:31:52 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
alfredot ha scritto:

Adesso, però, c'è questo .exe nella sezione PUP
http://imageshack.us/photo/my-images/51/scan2312.jpg/

Devo allarmarmi di non avere risolto o fa parte della normale zavorra che entra?


Non devi allarmarti, però se tu scansioni dopo ogni normale sessione di navigazione, o dopo aver scaricato il downloader

di softonic(preciso che se si tratta di questo, trattasi di un programma standalone del tutto pulito), è normale

che sas o altri rilevino qualcosa. Se rimuovi, questo di cui sopra, ne escono altri?

Ciao


alfredot
Inviato: Friday, March 02, 2012 2:44:38 PM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Commenta:
trattasi di un programma standalone

Che significa?? :O

Comunque... non è ricomparso!

Grazie ancora!

(PS Stai festeggiando?) :))
miticoalex
Inviato: Friday, March 02, 2012 11:04:55 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
alfredot ha scritto:

(PS Stai festeggiando?) :))


Aspetto che tu mi dica che il problema sia stato risolto :-)


miticoalex
Inviato: Friday, March 02, 2012 11:15:21 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
alfredot ha scritto:
Commenta:
trattasi di un programma standalone

Che significa?? :O


Che non s'installa, portable.


alfredot
Inviato: Saturday, March 03, 2012 9:54:25 AM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Commenta:
Aspetto che tu mi dica che il problema sia stato risolto :-)
Festeggia sulla fiducia, Miticoalex! Se no... lo champagne si scalda e la ragazza si raffredda! ;)

Commenta:
Che non s'installa, portable.

1. Non ho capito a quale programma ti riferissi
2. Non so come funzioni un programma portable.
Ecco da dove è nata la mia domanda!

Terrò sotto controllo e tui farò sapere!

Grazie one more time! :)
miticoalex
Inviato: Saturday, March 03, 2012 1:19:49 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
alfredot ha scritto:
champagne si scalda e la ragazza si raffredda! ;)


Non vi è alcun rischio; champagne in ghiaccio, e per la girl non c'è problema; la mia ipertermia è contagiosa :-)

Commenta:
Che non s'installa, portable.


Commenta:
1. Non ho capito a quale programma ti riferissi
2. Non so come funzioni un programma portable.
Ecco da dove è nata la mia domanda!


Leggevo in una delle tue immagini, softonic downloader; che per mia conoscenza, è il downloader omonimo del sito,

che consente di scaricare il software dal loro sito in modo opzionale. Un portable, funziona come un qualsiasi programma,

con la differenza che questo non s'installa, è trasportabile, e non sporca il registro.

Ciao




alfredot
Inviato: Saturday, March 03, 2012 1:45:34 PM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Commenta:
Non vi è alcun rischio; champagne in ghiaccio, e per la girl non c'è problema; la mia ipertermia è contagiosa :-)
Maprenditi del Viagra, allora!
Come sedativo... LOL

Commenta:
softonic downloader

Già... Non ho installato nessun software del genere

Commenta:
la differenza che questo non s'installa, è trasportabile, e non sporca il registro

Si, me ne avevi parlato, ma non c'ero mai riuscito.
Poi mi hai parlato della lentezza ecc, ed allora...

Ho appena finito uno scanning e nulla appare.
Ne farò uno più avanti e ti saprò dire! :)

Grazie!
alfredot
Inviato: Monday, March 05, 2012 1:55:21 PM

Rank: AiutAmico

Iscritto dal : 12/22/2009
Posts: 697
Miticoalex, direi che non c'è più niente.
Risolto una volta di più: grazie mille!

Non dormire sonni tranquilli, però... C'è una cosa in sospeso, ma ti "concederò" un riposo sabbatico! ;D
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.