PDA

Visualizza versione completa : Trojan.Ambler


marconazzi1
25-05-2009, 23.00.28
ho lanciato una scansione con Malwarebytes, questo il risultato: conoscete Trojan.Ambler, ho letto che pericolosissimo... cmq ho riscansionato e non lo trova pi? cosa posso fare?
grazie

Malwarebytes' Anti-Malware 1.36
Versione del database: 2178
Windows 5.1.2600 Service Pack 3

25/05/2009 21.03.20
mbam-log-2009-05-25 (21-03-20).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 88023
Tempo trascorso: 8 minute(s), 20 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 3
Valori di registro infetti: 0
Elementi dato del registro infetti: 2
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{ffcc6792-7219-4ff8-98d2-5d632a5fa01c} (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{ffcc6792-7219-4ff8-98d2-5d632a5fa01c} (Trojan.Ambler) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{ffcc6792-7219-4ff8-98d2-5d632a5fa01c} (Trojan.Ambler) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\logon.exe (Trojan.Agent) -> Delete on reboot.

leofelix
26-05-2009, 17.35.21
mmmm la vedo male.
Intanto aggiorna subito il MalwareBytes' AntiMalware alle pi recenti basi di definizione e ripeti la scansione.

Quindi a questo punto prova anche con SUPERAntiSpyware free

http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE (download diretto)

Se poi puoi postare un log con HiJackThis sarebbe ancora meglio, grazie

Kurtferro
26-05-2009, 18.07.21
usa combofix comunque, malwarebyte spesso non rimuove del tutto i virus, e alla fine controlla sempre con hijackthis che non siano rimaste tracce nell'avvio.

leofelix
26-05-2009, 22.35.20
usa combofix comunque, malwarebyte spesso non rimuove del tutto i virus, e alla fine controlla sempre con hijackthis che non siano rimaste tracce nell'avvio.


Esatto, anzi quasi esatto.

Il MalwareBytes' AntiMalware non rimuove virus, non in altri termini un antivirus n pretende di sostituirne uno;)

Nel caso del nostro amico c' anche un Trojan Agent, verosimilmente una rootkit, oltre al tipo di adware molto aggressivo che ha contratto.

Il Combofix pu rappresentare una soluzione molto valida , sapendo cosa si sta facendo per, istruzioni qui:

http://www.wintricks.it/software/combofix.html

e qui

http://www.steven.altervista.org/files/tools.html#tools1

Kurtferro
27-05-2009, 01.33.26
Esatto, anzi quasi esatto.

Il MalwareBytes' AntiMalware non rimuove virus, non in altri termini un antivirus n pretende di sostituirne uno;)

Nel caso del nostro amico c' anche un Trojan Agent, verosimilmente una rootkit, oltre al tipo di adware molto aggressivo che ha contratto.

Il Combofix pu rappresentare una soluzione molto valida , sapendo cosa si sta facendo per, istruzioni qui:

http://www.wintricks.it/software/combofix.html

e qui

http://www.steven.altervista.org/files/tools.html#tools1

Bisogna vedere cosa si intende per antivirus, il termine pi adatto malware perche un "virus" oramai suddiviso in tanti tipi come trojan, dialer, rootkit, spyware, worms, il virus codice malevolo con un determinato comportamento (comunque sempre malware) difficile da estirpare perche simula un virus vero, si repplica e si nasconde (cosa che fanno spesso i trojan ma soprattutto i worm), quindi l'insieme di tutte questi codici malevoli giusto che si chiami malware.

Sulla wikipedia si definisce cosi:

Si definisce malware un qualsiasi software creato con il solo scopo di causare danni pi o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano detto anche codice maligno.

e infatti per i virus:
Nell'ambito dell'informatica un virus un software, appartenente alla categoria dei malware, che in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di s stesso, generalmente senza farsi rilevare dall'utente. I virus possono essere o non essere direttamente dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso. Come regola generale si assume che un virus possa danneggiare direttamente solo il software della macchina che lo ospita, anche se esso pu indirettamente provocare danni anche all'hardware, ad esempio causando il surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento. Nell'uso comune il termine virus viene frequentemente ed impropriamente usato come sinonimo di malware, indicando quindi di volta in volta anche categorie di "infestanti" diverse, come ad esempio worm, trojan o dialer.


Antivirus oramai un termine riduttivo, tutti i software tentano di eliminare pi tipi di minacce, quindi un software malware dovrebbe essere il massimo per la rimozione di qualsiasi tipo di minaccia, un antispyware infatti dovrebbe scovare e rimuovere solamente gli spy o i dialer, ma si sa che oramai tutti i programmi estendono le loro definizioni a quasi tutti i tipi di minaccia, la differenza pi grossa si ha tra un software con realtime sempre attivo che scansiona tutti i file quando vengono letti o scritti per garantire infatti una protezione in tempo reale (qui non ci si deve confondere, un antivirus attivo sempre prudente averlo), ma non da meno un programma che non ha questa funzione e che quindi puo eseguire scansioni e rimuovere gli stessi malware del piu famigerato "antivirus" solo che lo fa se l'utente a lanciarne la scansione.

Il problema che ci sono tantissimi "virus" e moltissime varianti di essi e gli antivirus o malware spesso hanno nelle loro firme quel virus che stai cercando di rimuovere ma non di quella variante quindi riesce a rimuovere solo una parte di esso e per questo si costretti ad utilizzare piu programmi per la rimozione, insomma i programmi pi efficaci li conosciamo ma ti possiamo solo consigliare di esegure scansioni con tutti questi e non con uno in particolare.

Quindi leofelix se vogliamo essere precisi Malwarebyte pi di un antivirus, rimuove anche virus ma anche tutti i tipi di "infettanti", o almeno a detta del produttore^^

sono gli antivirus che dovrebbero essere chiamati Antimalware attivi per distinguerli da quelli passivi, ed vero solo che Malwarebyte non puo sostituire un antimalware attivo, ma quando si gi infettati uno degli strumenti migliori perche significa che l'antimalware attivo ha gia fallito.

marconazzi1
27-05-2009, 10.12.51
grazie e tutti, cmq ho fatto andare Malwarenyte (mi dice che il problema l'ha rimosso) due volte e pure il McAfee.. adesso sembra funzioni, cmq qui il file di HiJack
http://files.me.com/marconazzi/5euz4e
( lo stesso che ho messo in un altro post per un altro problema, ma forse sono correlati)

Kurtferro
27-05-2009, 13.56.34
io ci farei anche un combofix ( un po come la penicillina lol)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

disattiva prima il mcafee, disattiva anche il ripristino di sistema, quando lo avvi leggi sempre bene cosa ti chiede, se il ripristino disattivato ti chieder se vuoi scaricarlo e tu gli dici di no.

leofelix
27-05-2009, 19.30.36
Bisogna vedere cosa si intende per antivirus, il termine pi adatto malware perche un "virus" oramai suddiviso in tanti tipi come trojan, dialer, rootkit, spyware, worms, il virus codice malevolo con un determinato comportamento (comunque sempre malware) difficile da estirpare perche simula un virus vero, si repplica e si nasconde (cosa che fanno spesso i trojan ma soprattutto i worm), quindi l'insieme di tutte questi codici malevoli giusto che si chiami malware.

(da wikipedia) Nell'uso comune il termine virus viene frequentemente ed impropriamente usato come sinonimo di malware, indicando quindi di volta in volta anche categorie di "infestanti" diverse, come ad esempio worm, trojan o dialer.

/OT
@ Kurtferro: oltre alla contraddizione evidente che hai scritto e che ho citato (o quotato se preferisci) a titolo esemplificativo.
Le cose stanno parzialmente come sostieni.
Anche Marcin e Bruce, gli sviluppatori del MalwareBytes' AntiMalware del quale io sono stato probabilmente il primo beta tester italiano, informano che il loro prodotto non e non pu sostituire un antivirus completo e soprattutto il MBAM non riconosce e non rimuove alcun tipo di virus informatico che non un trojan, non un worm, non uno spyware non un adware che hanno modalit e comportamenti diversi dal Virus Informatico nel suo significato.
Io utilizzo il MBAM versione completa, ho quindi il modulo di protezione residente attivo: che si mette in azione solo quando un malware (non un virus) tenta di apportare delle modifiche non autorizzate al sistema.
Che poi gli antivirus di recenti generazioni includano anche un modulo antispyware e un antirootkit altro discorso e si visto che anche i pi blasonati tra questi hanno fallito miseramente di fronte a delle minacce che questi prodotti nonostante le loro caratteristiche evolute non avevano nemmeno visto.

Marcin e Bruce (cito i due con cui ho maggior dialogo e sono pi attivi nel forum della MalwareBytes' Corp e nello sviluppo del loro programma) invitano a installare un antivirus oltre al MBAM, anche a causa di questa paradossale confusione che si venuta a creare.

In particolare invitano a utilizzare AVIRA antivirus, e non solo: invitano anche a utilizzare un prodotto "concorrente": Lo SpyBot Search & Destroy.

Avranno le loro ragioni, ragioni che io condivido e non perch testo il loro software infettando se necessario anche una mia macchina;)

Quindi leofelix se vogliamo essere precisi Malwarebyte pi di un antivirus, rimuove anche virus ma anche tutti i tipi di "infettanti", o almeno a detta del produttore^^

Dove avresti letto queste affermazioni "del produttore" che hanno del fantascientifico?

Nulla di personale, sia chiaro, ma bene evitare confusione in merito

/end parziale OT

Kurtferro
27-05-2009, 21.07.18
Io dico solo che per definizione un antimalware dovrebbe proteggere da tutti i tipi di minacce, se questi chiamano il loro prodotto antimalware e in verit cos non allora come chiamare alrecchino babbo natale, ho detto da subito che infatti non rimuove del tutto o tutto ma questo aplicabile ad ogni software del genere, per questo consiglio scansioni con pi programmi, il virus un malware quindi non si puo dire che malwarebyte non rimuove virus perche un antimalware e non un antivirus.

nel primo quote mi sembra ovvio che ho messo le parentesi per usare quel termine nel modo meno appropriato spiegando poche righe dopo che il virus il comportamento del malware, che possa essere un trojan o un worm, ma non detto ceh per esempio un trojan abbia la facolta di agire come un virus.

dire "un malware e non un virus" non contraddice questa definizione?
Nell'ambito dell'informatica un virus un software, appartenente alla categoria dei malware,

forse se ne pu uscire fuori dicendo un malware ma non di tipo virus.

leofelix
27-05-2009, 21.39.15
ascolta Kurtferro: tu hai asserito che il produttore del MalwareBytes' AntiMalware avrebbe affermato che il MBAM molto pi un antivirus: il che falso.

Come detto penso di sapere appena appena qualcosina di pi sul MBAM, i loro sviluppatori e cosa sostengono.


Il MalwareBytes' AntiMalware non un antivirus, ma un prodotto differente.
Le speculazioni filosofiche in merito lasciamole da parte, ok?

/fine OT

leofelix proud MalwareBytes' AntiMalware beta tester

cascavel
27-05-2009, 21.40.44
forse e' sfuggito qualcosa: il log della scansione riguarda una scansione rapida di malwaebytes e gia' rimuove il problema. sarebbe utile fare una scansione completa con malwarebytes e rimuovere cio' che ancora trova. per quanto riguarda l'utilizzo di combofix sono d'accordo, soprattutto per vedere se c'e' qualche infezione nascosta e qualche voce da rimuovere manualmente. suggerisco a marconazzi1 di allegare il log C:\combofix.txt in formato *.txt e non di copiarlo ed incollarlo altrimenti si puo' occupare una pagina intera del forum.

Kurtferro
27-05-2009, 21.44.08
a detta del produttore perche ha chiamato il suo prodotto antimalware non per altro, se tu sei pi informato ben venga, ma io parlavo solo di definizioni, per chiarire la differenza tra malware e virus e che non si puo dire che un virus non un malware, tutto qui, un antimalware puo benissimo essere un antivirus.

marconazzi1
27-05-2009, 22.29.17
forse e' sfuggito qualcosa: il log della scansione riguarda una scansione rapida di malwaebytes e gia' rimuove il problema. sarebbe utile fare una scansione completa con malwarebytes e rimuovere cio' che ancora trova. per quanto riguarda l'utilizzo di combofix sono d'accordo, soprattutto per vedere se c'e' qualche infezione nascosta e qualche voce da rimuovere manualmente. suggerisco a marconazzi1 di allegare il log C:\combofix.txt in formato *.txt e non di copiarlo ed incollarlo altrimenti si puo' occupare una pagina intera del forum.
l'ho fatta la scansione completa il il problema pare risolto