Lo strano caso di oreans32.sys, PREY & Spybot....

nV 25 · 11-09-2006, 14:42

Sono 2 giorni che Spybot mi restituisce questo avviso:

Il passaggio di questo file su VirusTotal mostra questo scenario,

in linea con l'esperienza di un altro utente che ho rintracciato qui, http://www.dslreports.com/forum/rema...3650~mode=flat.

L'illuminazione su quello che potrebbe essere realmente mi è venuta leggendo il terz'ultimo post,

"Have you installed the game PREY?

This game installs Oreans32.sys as part of a protection scheme. Nothing bad if it is the real Oreans32.sys".

Inutile dire che qualsiasi scansione on-line ha fornito esito negativo, cosi' come è superfluo dire che *per prova* ho lasciato che Spybot rimuovesse il file di sistema che gli dava noia constatando come effettivamente PREY, per poter essere rilanciato, richiedesse nuovamente il ripristino di Oreans32.sys (tutto monitorato da RegDefend...).

Ora, tutta questa storiella per dire:

di coloro che frequentano la sezione & che hanno PREY installato, chi mi fa gentilmente la cortesia di controllarmi se nella directory C:\windows\system32\drivers figura il "famigerato" Oreans32.sys con le dimensioni come da figura sotto?

Grazie infinite

EDIT:
chiedo lumi anche sul thread ufficiale del gioco (saltando la storiella, xò...)

eraser · 11-09-2006, 14:51

Oreans32.sys è un driver utilizzato dall'exe protector/packer themida

nV 25 · 11-09-2006, 14:58

Quote:

Originariamente inviato da eraser

Orean32.sys è un driver utilizzato dall'exe protector/packer themida

Stò tranquillo.

TXS!

eraser · 11-09-2006, 14:59

Quote:

Originariamente inviato da nV 25

Stò tranquillo.

TXS!

che poi lo installi di nascosto ecc...ecc... è una cosa che anche a me non è andata giù subito

però che ci vuoi fare

nV 25 · 11-09-2006, 14:59

strano cmq che fino a 2 gg fà SB se ne stesse in silenzio, poi, improvvisamente...

Bè, è anche vero che a SB dò giusto importanza per cookie et similia, figuriamoci se vede un Trojan lui e KAV sonnecchia!

eraser · 11-09-2006, 15:01

Parlerò con Mike del team SpyBot...appena mi si riconnette msn

nV 25 · 11-09-2006, 15:02

Quote:

Originariamente inviato da eraser

che poi lo installi di nascosto ecc...ecc... è una cosa che anche a me non è andata giù subito

però che ci vuoi fare

se imparassi a tenermi attivi i vari Process-Guard/RegDefend quando faccio i Set-Up, non ti preoccupare che PREY non lo installava neppure con BinLaden di supporto....

...ma la cosa non avrebbe molto senso...

eraser · 11-09-2006, 15:04

devi installarlo per forza. È utilizzato come appoggio per decomprimere l'eseguibile. Praticamente viene installato il driver, poi quando l'exe viene eseguito va a colloquiare con il driver che lo decomprime e lo protegge da eventuali manomissioni.

nV 25 · 11-09-2006, 15:06

grazie delle preziose delucidazioni.

Se senti il tipo di SB via MSN, "ramazzolalo" da parte mia...

Ciao, Marco!

GmG · 11-09-2006, 15:07

Quote:

Originariamente inviato da eraser

devi installarlo per forza. È utilizzato come appoggio per decomprimere l'eseguibile. Praticamente viene installato il driver, poi quando l'exe viene eseguito va a colloquiare con il driver che lo decomprime e lo protegge da eventuali manomissioni.

Sbaglio o sistemi del genere non funzioneranno con vista.

lucas84 · 11-09-2006, 15:12

Non credo altrimenti molti software non funzionerebbero

Quote:

Per garantire che il driver non venga aggiunto da software dannoso, Windows Vista chiede all'utente di confermare la richiesta di installazione del driver. In questo modo, la protezione dell'account utente (User Account Protection) protegge gli utenti senza limitarne la capacità operativa.

nV 25 · 13-09-2006, 13:18

il periodo nero degli AntiSpyware...

Ecco freschi freschi gli abbagli di AdAware SE:

Pensate, il tipo ha KAV6 e si domandava "se era possibile che il suo AV ( a caso...) avesse cannato cosi' clamorosamente" mentre *improvvisamente* AdAware era diventato meglio di Ewido.

Sui Trojan, poi?!!?

, dove il Kav ne perde 1 ogni milione...

Vabuò, TUTTI FP! (PS:qualcuno aveva dubbi?

)

- LA STORIA....

...e i riferimenti.... (segnalati anche nel thread sopra...)

Per me, SpyBot/AdAware ecc...son boni si', ma per rimuovere i cookie traccianti e cavolate simili...

lucas84 · 13-09-2006, 13:44

Anche sophos,da quel valore associato ad un malware
http://www.sophos.com/security/analy...angelfred.html

McAffe
http://vil.nai.com/vil/content/v_131039.htm
http://vil.nai.com/vil/content/v_133500.htm

nV 25 · 13-09-2006, 13:54

E quindi?

Qui si parla di FP, non di sistemi realmente infetti.

Puoi dare ulteriori delucidazioni?

nV 25 · 13-09-2006, 14:00

anche perchè, per magia, con l'update delle definizioni, il MAGO AdAware non li riconosce +.....ma guarda un pò che strano, eh?

(in sostanza, quando parli [Lucas ecc], non riesco mai a capire dove vuoi arrivare con le tue allusioni...)

blue_tech · 13-09-2006, 14:00

Quote:

Originariamente inviato da nV 25

E quindi?

Qui si parla di FP, non di sistemi realmente infetti.

Puoi dare ulteriori delucidazioni?

quelli rilevati potrebbero essere rimasugli di precedenti infezioni rimosse...
il pc non da più segni e non ci sono più file infetti ma magari qualche voce di registro è rimasta...

gli altri sono spyware e adaware quindi è normale che kav non li abbia trovati

rimane da dire che sia ad-aware che spybot sono prodotti ottimi e più che collaudati e che quindi le possibilità di falsi positivi non sono così alte

nV 25 · 13-09-2006, 14:03

Quote:

Originariamente inviato da blue_tech

quelli rilevati potrebbero essere rimasugli di precedenti infezioni rimosse...
il pc non da più segni e non ci sono più file infetti ma magari qualche voce di registro è rimasta...

gli altri sono spyware e adaware quindi è normale che kav non li abbia trovati

rimane da dire che sia ad-aware che spybot sono prodotti ottimi e più che collaudati e che quindi le possibilità di falsi positivi non sono così alte

vedi, le tue parole almeno sono comprensibili.

Posso essere eventualmente d'accordo o meno, specie sull'ultimo periodo, ma questo cmq sia sarebbe 1 problema mio...ma almeno CAPISCO cosa intendi dire.

Lucas, aimè, proprio "non lo intendo"

lucas84 · 13-09-2006, 14:17

Open your eyes

Quel valore era realmente sul pc,capisci?ci sei?

Ciao

PS:Le mie non erano allusioni,forse sei tu che per certe cose sei tonto

lucas84 · 13-09-2006, 14:20

Se non capisci, chiarisco ulteriormente.
Quindi anche McAffe e Sophos producono il falso positivo(???????),è un mio pensiero o dubbio chiamalo come vuoi

nV 25 · 13-09-2006, 14:30

Visto che sei sicuramente più informato di me in materia (rimozione/identificazione, ecc...), perchè se il tipo iniziale (quello con KAV6) non ha eliminato le chiavi ( After these findings I didn't deleted anything but I close ad-aware and started a full system scan with KAV 6.0.0.303 and its latest virus databases. KAV didn't detect anything!
Six days back I performed full scans with both ad-aware&KAV and my system was clean) dopo 6 gg (o quello che sono) non ha + alcun segnale di allarme da parte di AdAware?

Per osmosi, forse, quelle chiavi si sono dematerializzate dal suo Pc entrando nel tuo?

Quote:

Originariamente inviato da lucas84

...ci sei?

questo invece sei pregato di dirlo a tua madre.

11-09-2006, 14:42	#1
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Lo strano caso di oreans32.sys, PREY & Spybot.... Sono 2 giorni che Spybot mi restituisce questo avviso: Il passaggio di questo file su VirusTotal mostra questo scenario, in linea con l'esperienza di un altro utente che ho rintracciato qui, http://www.dslreports.com/forum/rema...3650~mode=flat. L'illuminazione su quello che potrebbe essere realmente mi è venuta leggendo il terz'ultimo post, "Have you installed the game PREY? This game installs Oreans32.sys as part of a protection scheme. Nothing bad if it is the real Oreans32.sys". Inutile dire che qualsiasi scansione on-line ha fornito esito negativo, cosi' come è superfluo dire che per prova ho lasciato che Spybot rimuovesse il file di sistema che gli dava noia constatando come effettivamente PREY, per poter essere rilanciato, richiedesse nuovamente il ripristino di Oreans32.sys (tutto monitorato da RegDefend...). Ora, tutta questa storiella per dire: di coloro che frequentano la sezione & che hanno PREY installato, chi mi fa gentilmente la cortesia di controllarmi se nella directory C:\windows\system32\drivers figura il "famigerato" Oreans32.sys con le dimensioni come da figura sotto? Grazie infinite EDIT: chiedo lumi anche sul thread ufficiale del gioco (saltando la storiella, xò...)

11-09-2006, 14:51	#2
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6384	Oreans32.sys è un driver utilizzato dall'exe protector/packer themida __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: Ultima modifica di eraser : 11-09-2006 alle 14:58.

11-09-2006, 15:01	#6
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6384	Parlerò con Mike del team SpyBot...appena mi si riconnette msn __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

11-09-2006, 15:04	#8
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6384	devi installarlo per forza. È utilizzato come appoggio per decomprimere l'eseguibile. Praticamente viene installato il driver, poi quando l'exe viene eseguito va a colloquiare con il driver che lo decomprime e lo protegge da eventuali manomissioni. __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

13-09-2006, 13:18	#12
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	il periodo nero degli AntiSpyware... Ecco freschi freschi gli abbagli di AdAware SE: Pensate, il tipo ha KAV6 e si domandava "se era possibile che il suo AV ( a caso...) avesse cannato cosi' clamorosamente" mentre improvvisamente AdAware era diventato meglio di Ewido. Sui Trojan, poi?!!? , dove il Kav ne perde 1 ogni milione... Vabuò, TUTTI FP! (PS:qualcuno aveva dubbi? ) - LA STORIA.... ...e i riferimenti.... (segnalati anche nel thread sopra...) Per me, SpyBot/AdAware ecc...son boni si', ma per rimuovere i cookie traccianti e cavolate simili... Ultima modifica di nV 25 : 13-09-2006 alle 13:32.

11-09-2006, 14:59	#5
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	strano cmq che fino a 2 gg fà SB se ne stesse in silenzio, poi, improvvisamente... Bè, è anche vero che a SB dò giusto importanza per cookie et similia, figuriamoci se vede un Trojan lui e KAV sonnecchia!

11-09-2006, 15:06	#9
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	grazie delle preziose delucidazioni. Se senti il tipo di SB via MSN, "ramazzolalo" da parte mia... Ciao, Marco!

13-09-2006, 13:44	#13
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Anche sophos,da quel valore associato ad un malware http://www.sophos.com/security/analy...angelfred.html McAffe http://vil.nai.com/vil/content/v_131039.htm http://vil.nai.com/vil/content/v_133500.htm __________________ Il dubbio è il padre del sapere.

13-09-2006, 13:54	#14
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	E quindi? Qui si parla di FP, non di sistemi realmente infetti. Puoi dare ulteriori delucidazioni?

13-09-2006, 14:00	#15
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	anche perchè, per magia, con l'update delle definizioni, il MAGO AdAware non li riconosce +.....ma guarda un pò che strano, eh? (in sostanza, quando parli [Lucas ecc], non riesco mai a capire dove vuoi arrivare con le tue allusioni...)

13-09-2006, 14:17	#18
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Open your eyes Quel valore era realmente sul pc,capisci?ci sei? Ciao PS:Le mie non erano allusioni,forse sei tu che per certe cose sei tonto __________________ Il dubbio è il padre del sapere.

13-09-2006, 14:20	#19
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Se non capisci, chiarisco ulteriormente. Quindi anche McAffe e Sophos producono il falso positivo(???????),è un mio pensiero o dubbio chiamalo come vuoi __________________ Il dubbio è il padre del sapere.

Strumenti
Mostra una versione stampabile Invia questa pagina per email