Rootkit.Win32.Agent.go soluzioni???

[Jekana]

Quote:

Originariamente inviato da juninho85

dovrebbe esserci anche un altro file.sys che ho scritto qualche post più sopra

Vero...sono subito segnalati come troiani 2 file...però sicuramente sono collegati ad altri file che nella velocità di mutazione non si riesce a fare una mappa della situazione...ho provato anche ad avviare i vari programmi anti-Rootkit un secondo dopo la segnalazione del KAv che dava la posizione del file nella solita posizione che sappiamo ma non rilevavano nulla...vado a verificare nella cartella e il file in effetti era scomparso...mentre nella rilevazione continua degli scrip del kav mi risultava che ancora l'infezione era interna e presente. Cmq sembra che
con l'eliminazione di a2 il problema si è definitivamente risolto. Strano ma vero.
Sono sicuro che prossimamente si capirà di più su questa strana nuova infezione...e sono molto curioso.

Ciao ciao

[xcdegasp]

Quote:

Originariamente inviato da Jekana

Caro amico,
non sono mica un novizio di pc e programmi...presumi che abbia un firewall che non vale ma su quale base lo credi? Cmq non è importante...io sono molto pignolo e ho un pc che difficilmente ha virus, trojan o problemi vari. I programmi li provo ben bene prima di stabilire se mi servono...non credo alle voci diffuse in giro per la rete. Cmq non volevo annoiarti...era solo per conoscerci meglio...dunque per risponderti ti dico che lo so che il firewall del sistema operativo è nullo...è ovvio.

lo dico sulla base di quello che hai notificato e dall'analisi presa dal sito http://www.greatis.com/appdata/d/m/m...ys_Removal.htm che gentilmente l'utente "mausap" ha portato alla nostra lettura.

Quote:

MchInjDrv.sys is a driver for injecting code to other processes.

un buon firewall blocca questa attività o come minimo chiede il consenso all'utente!
infatti usando il firewall di winXP queste protezioni non le potrai possedere

poi ognuno è libero di attribuire i giudizi che vuole e che meglio crede ma è inutile crede che a-squared con questa tipologia di infezione possa sistemarti...
del resto a-squared lo puoi usare solo quando è avvenuta l'infezione e non può di certo attivarsi magicamente per debellare la minaccia a priori

[juninho85]

Quote:

Originariamente inviato da BEY0ND

Io non ho avuto "il piacere" di vederli sul mio pc...cmq se 2+2=4 credo che se prima all'accensione del pc f-secure mi segnalava il virus e adesso no penso che il nemico non sia più presente o almeno se lo è non mi sta squinternando il sistema...

ok ma guarda lo storico di f.secure no?!

[lancetta]

hum.....c'è qualcosa che non quadra... in rete ci sono altre lamentele per quanto riguarda rootkit in soft di sicurezza un esempio quest'utente dice di averlo trovato in Spyware doctor (scansione di Z.A. suite) e chiede lumi a pctools
Non sò che pensare...speriamo non sia l'inizio di una nuova era

[lucas84]

Quote:

Originariamente inviato da xcdegasp

un buon firewall blocca questa attività o come minimo chiede il consenso all'utente!

Dove l'hai letto su topolino? o sul libro di aranzulla?

[xcdegasp]

Quote:

Originariamente inviato da lucas84

Dove l'hai letto su topolino? o sul libro di aranzulla?

attività di codice iniettato sono tra quelle che deve bloccare visto che è lo stesso meccanismo di iniettare in una dll...
ma se tu sei il massimo espertone in materia sfoggia senza limitazione la tua immensa sampenzia affinchè noi sognatori possiamo istruirci

[Chill-Out]

Quote:

Originariamente inviato da lancetta

hum.....c'è qualcosa che non quadra... in rete ci sono altre lamentele per quanto riguarda rootkit in soft di sicurezza un esempio quest'utente dice di averlo trovato in Spyware doctor (scansione di Z.A. suite) e chiede lumi a pctools
Non sò che pensare...speriamo non sia l'inizio di una nuova era

Stesso discorso anche per a-squared, dal forum: "The file is used by a-squared. Feel free to contact your AV vendor to report their false positive."
Ciao.

[BEY0ND]

Quote:

Originariamente inviato da lancetta

hum.....c'è qualcosa che non quadra... in rete ci sono altre lamentele per quanto riguarda rootkit in soft di sicurezza un esempio quest'utente dice di averlo trovato in Spyware doctor (scansione di Z.A. suite) e chiede lumi a pctools
Non sò che pensare...speriamo non sia l'inizio di una nuova era

Quadra..quadra...
Installato stamattina spyware doctor sul portatile di un mio compagno di casa che ha la mia stessa configurazione di sicurezza(mi segue a routa... )e che si è offerto gentilmente per questa prova,f-secure si è subito risvegliato dal letargo!!!
Disinstallato,f-secure si è nuovamente assopito...
Fate un pò voi...
La confusione,al momento,la fa da padrone...
Saluti

[wizard1993]

Quote:

Originariamente inviato da BEY0ND

Quadra..quadra...
Installato stamattina spyware doctor sul portatile di un mio compagno di casa che ha la mia stessa configurazione di sicurezza(mi segue a routa... )e che si è offerto gentilmente per questa prova,f-secure si è subito risvegliato dal letargo!!!
Disinstallato,f-secure si è nuovamente assopito...
Fate un pò voi...
La confusione,al momento,la fa da padrone...
Saluti

fai un cosa, fai una doppia installazione di xp (Dual boot) e trasferisci tutti i dati perbenino; poi formatta l'xp vecchio

[lucas84]

Quote:

Originariamente inviato da xcdegasp

attività di codice iniettato sono tra quelle che deve bloccare visto che è lo stesso meccanismo di iniettare in una dll...

ma che ca**o dici? guarda che non è detto che un firewall debba avere un semi hips integrato come kerio, comodo ecc ecc, forse ti stai spiegando male, il firewall deve avvisarti che il processo è stato modificato e stà accedendo ad internet, su questo sono daccordo, ma non che debba bloccare tale operazione(injected).

Ciao

[BEY0ND]

Quote:

Originariamente inviato da wizard1993

fai un cosa, fai una doppia installazione di xp (Dual boot) e trasferisci tutti i dati perbenino; poi formatta l'xp vecchio

Artiglieria pesante
Al momento passo...

[Jekana]

Quote:

Originariamente inviato da xcdegasp

lo dico sulla base di quello che hai notificato e dall'analisi presa dal sito http://www.greatis.com/appdata/d/m/m...ys_Removal.htm che gentilmente l'utente "mausap" ha portato alla nostra lettura.

un buon firewall blocca questa attività o come minimo chiede il consenso all'utente!
infatti usando il firewall di winXP queste protezioni non le potrai possedere

poi ognuno è libero di attribuire i giudizi che vuole e che meglio crede ma è inutile crede che a-squared con questa tipologia di infezione possa sistemarti...
del resto a-squared lo puoi usare solo quando è avvenuta l'infezione e non può di certo attivarsi magicamente per debellare la minaccia a priori

Non so il tuo nome..cmq...con la massima tranquillità ti dico che abbiamo un problema di comprensione. E' inutile che mi ripeti le funzioni che ho con il teorico firewall di Xp ..so già di cosa è capace o per meglio dire quanto è incapace!
Visto che mi sei simpatico ti dico cosa avveniva quando avviavo il pc e subito il mio Kav mi segnalava i 2 troiani...bene dopo la segnalazione e l'ordine da parte mia di rimozione con risposta negativa, il mio firewall stava buono buono e tranquillo senza segnalare nessun tentativo di uscita da parte di nessun file.
Ovviamente ero off-line ancora...subito dopo mi son connesso ed ecco arrivare una serie di attacchi sul pc ...segnalati e bloccati dal firewall...credo che dall'esterno si rilevava l'infezione della macchina...come credo che non avevo nessuna richiesta di uscita strana perchè nel firewall era impostato che a2 era autorizzato ad uscire per aggiornarsi senza bisogno di chiedermi niente, quindi l'amico usciva.
Aggiungo per risponderti in modo completo che con a2 in real time puoi avere anche una protezione preventiva ...e ti segnala anche tentativi di modifiche di chiavi di registro del sistema chiedendoti autorizzazione...quindi sei informato male...ma questa volta il Rootkit si è annidato superando il buon a2 e si è creato la casetta proprio dentro a2 ...infatti tutte le scansioni fatte successivamente con a2 non hanno mai segnalato niente, nemmeno il trojan rilevato con "counterspy" che cmq era un'altro tipo di trojan. Ricordo che alcuni siti attendibili specificano che certi tipi di Rootkit hanno anche la funzione di nascondere altri trojan. Il primo sospetto che l'infezione si era plasmata in a2 l'ho avuta la prima volta con il log di HijackThis che l'unica cosa che mi segnalava come "sospetto" quindi da controllare era proprio la posizione dei file di a2 nel sistema operativo. Eliminato a2 (non so ancora se completamente) eliminato il Rootkit. Spero che adesso ci siamo capiti meglio.

Ciao amico e grazie.

[Jekana]

Quote:

Originariamente inviato da lancetta

hum.....c'è qualcosa che non quadra... in rete ci sono altre lamentele per quanto riguarda rootkit in soft di sicurezza un esempio quest'utente dice di averlo trovato in Spyware doctor (scansione di Z.A. suite) e chiede lumi a pctools
Non sò che pensare...speriamo non sia l'inizio di una nuova era

Lancetta i tuoi dubbi sono legittimi. Allora dopo 5 giorni di prove e riprove sono arrivato a delle conclusioni. E' vero ...alcuni dicono che l'infezione era dentro Spywar doctor,nei vari forum trovi gente che dice che lo ha trovato dentro Ashampoo. Io personalmente posso con certezza dire che era dentro a2. Come posso dire che, dopo aver preso l'infezione, tra i programmi di rimozione che ho usato nella disperazione più assoluta, visto che non se ne veniva a capo, ho messo e provato anche Spyware Doctor che non è servito a niente come rilevazione, anzi mi ha rilevato 2 falsi positivi da ridere con pericolosità bassa. Ho eliminato quindi Spyware doctor e ti posso dire che non ho avuto problemi di peggioramento infezione quando era istallato come non avuto nessun miglioramento quando l'ho eliminato. Arrivando al dunque, secondo me si plasma nei programmi di difesa che uno ha bucando per adesso le rilevazioni difensive. Quindi ognuno se lo ritrova in un programma diverso e ben camuffato. La cosa che volevo sottolineare, per capire con che cosa abbiamo a che fare, e che dopo la prima connessione appena infettato, il mio pc ha subito una serie di attacchi prontamente bloccati dal mio buon firewall, da quel momento il mio firewall è stato danneggiato e quindi non si avviava più perchè rappresentava un ostacolo. Ho dovuto eliminarlo e rimetterlo e alzare le difese.
Secondo me hai detto bene...siamo all'inizio di una nuova era.

[juninho85]

...non riesco a carpire cosa intendi per

Quote:

questa volta il Rootkit si è annidato superando il buon a2 e si è creato la casetta proprio dentro a2 ...infatti tutte le scansioni fatte successivamente con a2 non hanno mai segnalato niente, nemmeno il trojan rilevato con "counterspy" che cmq era un'altro tipo di trojan

e

Quote:

Eliminato a2 (non so ancora se completamente) eliminato il Rootkit.

sarà mica che kaspersky come rilevava i trojan o quel chispios che c'era li rimuoveva pure?!....

[Jekana]

Quote:

Originariamente inviato da juninho85

...non riesco a carpire cosa intendi ...sarà mica che kaspersky come rilevava i trojan o quel chispios che c'era li rimuoveva pure?!....

Non so cosa vuoi dire, se la domanda è se Kav rimuoveva il Rootkit...la risposta è no! Se invece vuoi sapere perchè Kav non vedeva quel trojan rimosso poi da altro programma...ti dico che Kav pur essendo un ottimo antivirus ogni tanto si fa scappare qualche Trojan....di solito il buon a2 completava la mancanza di rilevazione e di rimozione di Kav...quindi per me i 2 assieme portavano la protezione di rilevazione e rimozione a un buon livello.

Non so se ho soddisfatto i tuoi dubbi...spero di si.

[juninho85]

per curiosità...da dove hai scaricato e quando hai installato a2squared?

[xcdegasp]

@ Jekana: non avevi specificato a2-squared-antimalware e non è scontato che si acquisti unalicenza quando esiste un medesimo prodotto free..
quindi ero partito dal presupposto che avessi la free perchè "modello base"
l'antimalware lo uso pure io.


@ lucas84:
ho espresso male quello che volevo dire anzi ho omesso delle parti essenziali nel discorso...
il firewall deve avvisarti che il processo è stato modificato e stà accedendo ad internet, su questo sono daccordo
intendevo proprio questo e non che dovesse svolgere il ruolo di hips, anche se l'idea non sarebbe male...

[Riverside]

Ho seguito con curiosità l'intera discussione.
Prima vorrei fare una piccola considerazione (se qualcuno mi offre, poi, una risposta in merito, sarebbe gradita: sulla questione, una nota software house ha rilasciato un comunicato ufficiale (nel thread è stato linkato non ricordo da chi, e pure, riportato, il testo, da me) nel quale segnala il problema come un "falso positivo".
La domanda è: per quale ragione o a che scopo, una software house che è sempre apparsa seria, si mette a raccontare una panzana ai propri utenti ultilizzatori?.
Andiamo oltre; preso dalla curiosità ho controllato, attentamente, il mio P.C., senza trovare una minima traccia del problema in questione.
Può essere che dipenda dal tipo di configurazione di sicurezza (la mia, di base è: Nod32 + Outpost Professional + AdAware Professional integrato con un Ad-watch).
Ciò che più mi ha incuriisito è che qualcuno ritenga possa, in qualche maniera, dipendere da A-Squared.
Curiosamente, anche io utlizzo A-Squared (è aggiornatissimo) e, come detto prima, non ho rilevato alcun problema.
Quindi mi sorge un dubbio: tenuto conto del fatto che il problema si è evidenziato, improvvisamente, da qualche giorno, nessuno ha pensato possa dipendere da qualche recente aggiornamento rilasciato dalla Microsoft (in fondo, non sarebbe la prima volta che accade)?.

[xcdegasp]

Quote:

Originariamente inviato da Riverside

Ho seguito con curiosità l'intera discussione.
Prima vorrei fare una piccola considerazione (se qualcuno mi offre, poi, una risposta in merito, sarebbe gradita: sulla questione, una nota software house ha rilasciato un comunicato ufficiale (nel thread è stato linkato non ricordo da chi, e pure, riportato, il testo, da me) nel quale segnala il problema come un "falso positivo".
La domanda è: per quale ragione o a che scopo, una software house che è sempre apparsa seria, si mette a raccontare una panzana ai propri utenti ultilizzatori?.
Andiamo oltre; preso dalla curiosità ho controllato, attentamente, il mio P.C., senza trovare una minima traccia del problema in questione.
Può essere che dipenda dal tipo di configurazione di sicurezza (la mia, di base è: Nod32 + Outpost Professional + AdAware Professional integrato con un Ad-watch).
Ciò che più mi ha incuriisito è che qualcuno ritenga possa, in qualche maniera, dipendere da A-Squared.
Curiosamente, anche io utlizzo A-Squared (è aggiornatissimo) e, come detto prima, non ho rilevato alcun problema.
Quindi mi sorge un dubbio: tenuto conto del fatto che il problema si è evidenziato, improvvisamente, da qualche giorno, nessuno ha pensato possa dipendere da qualche recente aggiornamento rilasciato dalla Microsoft (in fondo, non sarebbe la prima volta che accade)?.

non credo dipenda da aggiornamenti microsoft perchè questi vengono rilasciati solo il 2° martedì del mese...
nel mio caso era proprio un falso positivo ma non avevo mai dato l'imput di metterlo in quarantena.

Jekana ha portato ai nostri occhi una vicenda alquanto strana e che si è incerti a definirla un falso positivo...

[BEY0ND]

Tanto per la cronaca...
Io ho installato ashampoo antispyware(mio pc) e spyware doctor(pc di un amico,stamattina) da cd allegati a 2 riviste diverse...
Se non ricordo male nelle relative sezioni le riviste specificavano che i software presenti nel cd fossero stati ipercontrollati(normale routine)da svariati software di sicurezza...