Lo strano caso di oreans32.sys, PREY & Spybot....

[nV 25]

Sono 2 giorni che Spybot mi restituisce questo avviso:



Il passaggio di questo file su VirusTotal mostra questo scenario,



in linea con l'esperienza di un altro utente che ho rintracciato qui, http://www.dslreports.com/forum/rema...3650~mode=flat.

L'illuminazione su quello che potrebbe essere realmente mi è venuta leggendo il terz'ultimo post,

"Have you installed the game PREY?

This game installs Oreans32.sys as part of a protection scheme. Nothing bad if it is the real Oreans32.sys".

Inutile dire che qualsiasi scansione on-line ha fornito esito negativo, cosi' come è superfluo dire che *per prova* ho lasciato che Spybot rimuovesse il file di sistema che gli dava noia constatando come effettivamente PREY, per poter essere rilanciato, richiedesse nuovamente il ripristino di Oreans32.sys (tutto monitorato da RegDefend...).


Ora, tutta questa storiella per dire:

di coloro che frequentano la sezione & che hanno PREY installato, chi mi fa gentilmente la cortesia di controllarmi se nella directory C:\windows\system32\drivers figura il "famigerato" Oreans32.sys con le dimensioni come da figura sotto?



Grazie infinite

EDIT:
chiedo lumi anche sul thread ufficiale del gioco (saltando la storiella, xò...)

[eraser]

Oreans32.sys è un driver utilizzato dall'exe protector/packer themida

[nV 25]

Quote:

Originariamente inviato da eraser

Orean32.sys è un driver utilizzato dall'exe protector/packer themida

Stò tranquillo.

TXS!

[eraser]

Quote:

Originariamente inviato da nV 25

Stò tranquillo.

TXS!

che poi lo installi di nascosto ecc...ecc... è una cosa che anche a me non è andata giù subito però che ci vuoi fare

[nV 25]

strano cmq che fino a 2 gg fà SB se ne stesse in silenzio, poi, improvvisamente...

Bè, è anche vero che a SB dò giusto importanza per cookie et similia, figuriamoci se vede un Trojan lui e KAV sonnecchia!

[eraser]

Parlerò con Mike del team SpyBot...appena mi si riconnette msn

[nV 25]

Quote:

Originariamente inviato da eraser

che poi lo installi di nascosto ecc...ecc... è una cosa che anche a me non è andata giù subito però che ci vuoi fare

se imparassi a tenermi attivi i vari Process-Guard/RegDefend quando faccio i Set-Up, non ti preoccupare che PREY non lo installava neppure con BinLaden di supporto....

...ma la cosa non avrebbe molto senso...

[eraser]

devi installarlo per forza. È utilizzato come appoggio per decomprimere l'eseguibile. Praticamente viene installato il driver, poi quando l'exe viene eseguito va a colloquiare con il driver che lo decomprime e lo protegge da eventuali manomissioni.

[nV 25]

grazie delle preziose delucidazioni.

Se senti il tipo di SB via MSN, "ramazzolalo" da parte mia...

Ciao, Marco!

[GmG]

Quote:

Originariamente inviato da eraser

devi installarlo per forza. È utilizzato come appoggio per decomprimere l'eseguibile. Praticamente viene installato il driver, poi quando l'exe viene eseguito va a colloquiare con il driver che lo decomprime e lo protegge da eventuali manomissioni.

Sbaglio o sistemi del genere non funzioneranno con vista.

[lucas84]

Non credo altrimenti molti software non funzionerebbero

Quote:

Per garantire che il driver non venga aggiunto da software dannoso, Windows Vista chiede all'utente di confermare la richiesta di installazione del driver. In questo modo, la protezione dell'account utente (User Account Protection) protegge gli utenti senza limitarne la capacità operativa.

[nV 25]

il periodo nero degli AntiSpyware...

Ecco freschi freschi gli abbagli di AdAware SE:



Pensate, il tipo ha KAV6 e si domandava "se era possibile che il suo AV ( a caso...) avesse cannato cosi' clamorosamente" mentre *improvvisamente* AdAware era diventato meglio di Ewido.

Sui Trojan, poi?!!? , dove il Kav ne perde 1 ogni milione...





Vabuò, TUTTI FP! (PS:qualcuno aveva dubbi? )

- LA STORIA....

...e i riferimenti.... (segnalati anche nel thread sopra...)








Per me, SpyBot/AdAware ecc...son boni si', ma per rimuovere i cookie traccianti e cavolate simili...

[lucas84]

Anche sophos,da quel valore associato ad un malware
http://www.sophos.com/security/analy...angelfred.html

McAffe
http://vil.nai.com/vil/content/v_131039.htm
http://vil.nai.com/vil/content/v_133500.htm

[nV 25]

E quindi?

Qui si parla di FP, non di sistemi realmente infetti.

Puoi dare ulteriori delucidazioni?

[nV 25]

anche perchè, per magia, con l'update delle definizioni, il MAGO AdAware non li riconosce +.....ma guarda un pò che strano, eh?

(in sostanza, quando parli [Lucas ecc], non riesco mai a capire dove vuoi arrivare con le tue allusioni...)

[blue_tech]

Quote:

Originariamente inviato da nV 25

E quindi?

Qui si parla di FP, non di sistemi realmente infetti.

Puoi dare ulteriori delucidazioni?

quelli rilevati potrebbero essere rimasugli di precedenti infezioni rimosse...
il pc non da più segni e non ci sono più file infetti ma magari qualche voce di registro è rimasta...

gli altri sono spyware e adaware quindi è normale che kav non li abbia trovati

rimane da dire che sia ad-aware che spybot sono prodotti ottimi e più che collaudati e che quindi le possibilità di falsi positivi non sono così alte

[nV 25]

Quote:

Originariamente inviato da blue_tech

quelli rilevati potrebbero essere rimasugli di precedenti infezioni rimosse...
il pc non da più segni e non ci sono più file infetti ma magari qualche voce di registro è rimasta...

gli altri sono spyware e adaware quindi è normale che kav non li abbia trovati

rimane da dire che sia ad-aware che spybot sono prodotti ottimi e più che collaudati e che quindi le possibilità di falsi positivi non sono così alte

vedi, le tue parole almeno sono comprensibili.

Posso essere eventualmente d'accordo o meno, specie sull'ultimo periodo, ma questo cmq sia sarebbe 1 problema mio...ma almeno CAPISCO cosa intendi dire.

Lucas, aimè, proprio "non lo intendo"

[lucas84]

Open your eyes
Quel valore era realmente sul pc,capisci?ci sei?

Ciao

PS:Le mie non erano allusioni,forse sei tu che per certe cose sei tonto

[lucas84]

Se non capisci, chiarisco ulteriormente.
Quindi anche McAffe e Sophos producono il falso positivo(???????),è un mio pensiero o dubbio chiamalo come vuoi

[nV 25]

Visto che sei sicuramente più informato di me in materia (rimozione/identificazione, ecc...), perchè se il tipo iniziale (quello con KAV6) non ha eliminato le chiavi ( After these findings I didn't deleted anything but I close ad-aware and started a full system scan with KAV 6.0.0.303 and its latest virus databases. KAV didn't detect anything!
Six days back I performed full scans with both ad-aware&KAV and my system was clean) dopo 6 gg (o quello che sono) non ha + alcun segnale di allarme da parte di AdAware?

Per osmosi, forse, quelle chiavi si sono dematerializzate dal suo Pc entrando nel tuo?

Quote:

Originariamente inviato da lucas84

...ci sei?

questo invece sei pregato di dirlo a tua madre.