|
Rank: AiutAmico
Iscritto dal : 12/19/2008 Posts: 1,012
|
Ieri dopo aver aggiornato Spy&Bot mi ha trovato questa chiave infetta Nel registro:
--- Search result list ---
Win32.Fakealert.ttam: [SBI $CB1B5484] ID di classe (Chiave di registro, nothing done)
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
Solo che dato che nel il mio antivirus, ne spywareterminator, SUPERantispyware and Anti-MalwareBytes hanno trovato NULLA…anche Hijackthis nulla !
Che sia un falso/positivo ? che fare lo correggo o aspetto ? chi mi aiuta ?
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005 Posts: 22,971
|
Personalmente, ritengo che sia un falso-positivo (ma NON sono onnisciente!)... Se fossi in te, lascerei le cose come stanno per qualche ora (finché non verran rilasciati i nuovo aggiornamenti di Spybot) e poi farei una seconda scansione. Al limite, se vuoi, puoi usar la Quarantena (ma NON eliminare!), così potrai ripristinare tutto se -nel caso magari improbabile io abbia ragione- salterà fuori davvero che si trattava di un "falso-positivo"...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007 Posts: 11,016
|
monsee ha scritto: Al limite, se vuoi, puoi usar la Quarantena (ma NON eliminare!), così potrai ripristinare tutto se -nel caso magari improbabile io abbia ragione- salterà fuori davvero che si trattava di un "falso-positivo"... Quoto questa seconda soluzione. Anche perchè, i pareri che si leggono in rete sono molto contrastanti. Passano dal pericolosissimo Delf, a un possibile falso positivo. http://www.threatexpert.com/report.aspx?md5=4ada781eb67b43c4ce25dbc4354c98e7http://forums.spybot.info/showthread.php?t=8625
|
|
Rank: AiutAmico
Iscritto dal : 12/19/2008 Posts: 1,012
|
mitici... ma qui http://forums.spybot.info/showthread.php?t=50563cosa dice che NON capisco ?????? io gli ho detto di CORREGGERE quindi posso ripsitrinare la chiave o e' cancellata ?, se no, come la recupero ? aiutooooo e grazie
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005 Posts: 22,971
|
Nel thread che hai linkato (che avevo letto anch'io) si confrontano due tesi ben distinte: una propende per il caso del "falso-positivo" e l'altra ritiene, invece, che NON si tratti di un falso-positivo, ma sia il residuo di un rogue (si chiamano "rogue" tutti quei programmi che affermano di essere antivirus oppure antispywares... e invece solo LORO che t'infettano il computer!)... Se hai "corretto" (eliminato, dunque) la voce, dubito che tu la possa recuperare. Ma non mi pare il caso di preoccuparsene, giacché potrebbe anche NON essersi trattato di un "falso positivo". Aspettiamo prima di capire come davvero stan le cose, dopo di che potremo -se del caso- rifletterci un po' sopra...
|
|
Rank: AiutAmico
Iscritto dal : 12/19/2008 Posts: 1,012
|
pero' c'e anche la opzione RIPRISTINA ...
che magari con la correzzione SPYBot non abbia cancellata la chiave ma solo messa in quarantena ?
grazieeeeeeeeeeeee
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005 Posts: 22,971
|
Per quel che mi risulta, la cosa è differente: Spybot fa sempre -in automatico- un BACKUP, prima di cancellare. "Ripristina" -io credo- sta a significare che quel che è stato cancellato può essere ripristinato partendo dal backup. Aspettiamo a vedere se si tratta di un vero malware oppure di un falso-positivo, prima di far qualcosa.
|
|
Rank: AiutAmico
Iscritto dal : 12/19/2008 Posts: 1,012
|
"Another PhraseExpress user here. I did a SpyBot (fully updated) search yesterday and got this Win32.Fakealert.ttam 'Trojan' that Fred232 mentioned in Post# 9 I 'Fixed' it and it now sits in Quarantine. I have since used PhraseExpress and even checked for an update for it through the program. Today I checked for SpyBot updates then did another search and got the same Win32.Fakealert.ttam 'Trojan' Using SpyBot I went to the source and found it to be: PhraseExpress.DocHostUIHandler I decided to search the web for info and here I am. My NetBook is running smooth, no problems that I can see. I do trust Bartels Media GmbH but just want to make sure some horrid nasty is not using PhraseExpress as cover I will check back here later to see if the issue has been resolved. Thanks for the fantastic SpyBot Search & Destroy (great name by the way" e mo questo che dice ? cercato ma io sto cavolo di porgramma che dicono loro PhraseExpress NON c'e lho !!!! scaricato il nuovo update delle definizioni di spybot ora provo a fare la scansione... ma OVVIO che non mi trovera' nulla visto che sto trojan e' in quarantena... quindi cosa risolvo ?aiutoooo ???
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005 Posts: 22,971
|
Non penso tu l'abbio messo in Quarantena, il file: penso tu l'abbia eliminato ("riparato") e che Spybot ne abbia fatto un backup subito prima di eliminarlo (lo tiene da parte in caso di bisogna). Puoi -immagino- ricorrere al backup creato da Spybot prima dell'eliminazione per riscriver quel ch'è stato tolto nel Registro di Sistema. Nel post che hai parzialmente riportato l'Utente spiegava che la rimozione del file "presunto-infetto" non pare aver avuto nefaste conseguenze. Non penso (se il file non è più nel tuo Sistema) che tu possa verificare adesso se era davvero pericoloso oppure no. Magari, un'altra volta, metti in Quarantena per un po' (sino all'aggiornamento successivo... dopo di che ricontrolli il file che sta nella Quarantena e, se lo trovi sempre infetto, lo elimini... se, invece, ti risulta "buono", lo ripristini).
|
|
Rank: AiutAmico
Iscritto dal : 12/19/2008 Posts: 1,012
|
cavoli...ormai e' fatta e sono 2 giorni e sembra andare tutto bene , quindi frse NOn era una chiave importante...speriamo !!!
ma scusa prima di cliccare su correggi (che tu dici elimina) ho cliccato sulla chiave con il dx , ma NON ho visto la voce metti in quarantena ...possibile ?
grazieee
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005 Posts: 22,971
|
Caspiterina, hai ragione! In Spybot esiste la cartella Backups (che attiene proprio alle voci di Registro eliminate... insomma, proprio quel che interessate). Sta in Documents and Settings/All Users, internamente ad una cartella "nascosta" di Sistema. Per cui è anche possibile ripristinare i valori cancellati.
|
|
Rank: AiutAmico
Iscritto dal : 12/19/2008 Posts: 1,012
|
grazie monsse...mi ha risposto un membro del team spybot: "I will try to make it short to lessen confusion If the following key was the only item from Win32.Fakealert.ttam that flagged, then it is a false positive and you should recover it if you previously deleted it Win32.Fakealert.ttam: [SBI $CB1B5484] ID di classe (Chiave di registro, nothing done) HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF} If there Win32.Fakealert.ttam files detected along this, than it was not a false positive. @bartelsmedia other than the CLSID named above the rest of your software should not be picked up by Spybot S&D falsely. @miciotta62 there are also other legit programs other than PhraseExpress which use this key I only used PhraseExpress as an example so you can find the correct location of the registry that is important for an identification wether this registry key is used for a legit or malicious software. @fred232, @miciotta62please try this: click on the Windows start button then on "Run..." then copy and paste the following: c:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery this will open the Spybot S&D recovery folder look for a file that contains Fakealtertttam in its name copy this file to your desktop and attach it to your next post or an email with a link to this thread to " da quel poco che capisco dice che e' davvero un falso / positivo giusto ?
che faccio allora RIPRISTINO la chiave ? come faccio ? aiutoooo, grazie e ciaooo
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005 Posts: 22,971
|
Ti vien spiegato che può essere un falso-positivo OPPURE no. La differenza, ti viene detto, è la seguente: se è presente un'unica segnalazione (di Win32.Fakealert.ttam) allora si tratta di un falso-positivo. Se ve n'è più di una, invece, NON si tratta di un falso-positivo.
A questo messaggio, un secondo messaggio (di autore diverso) fa però rilevare che potrebbero anche esserci più segnalazioni e -ciò nonostante- potrebbe trattarsi lo stesso di un falso-positivo, giacché quella specifica Chiave può essere usata da vari legittimi programmi (non si tratta di una Chiave di Sistema [non è che sia indispensabile la Sistema Operativo, insomma], ma può venir usata da vari Programmi [di quelli che istalla l'Utente a sua scelta]).
Letto ciò, la persona che ti ha scritto il primo post, ti chiede di fargli aver (nel tuo prossimo post) l'esatta Chiave di Registro (facendo un copia-e-incolla della stessa) che è stata rilevata e cancellata (e che puoi ritrovare nei backups di Spybot), così che lui possa verificare meglio se trattasi di falso-positivo oppure no.
|
|
Guest |