Conoscevamo già il famoso Rootkit con le sue varianti:

Rootkit.Win32.Agent.h
Rootkit.Win32.Agent.ea
Rootkit.Win32.Agent.ab
Rootkit.Win32.Agent.p
ecc.....

Ma dal 6 luglio sembra arrivato il Rootkit.Win32.Agent.go!

Io l'ho preso con tutte le difese già belle e piazzate nel pc e vi dico che è un bel divertimento averlo come ospite. Il 6 e il 7 luglio nessun sito in internet parlava di questa variante. Adesso si incomincia a parlare. Bene...il trojan-fantasma mi viene rilevato da Kav in avvio su due file posizionati in System32, ma non li cancella...a volte invece le sys segnalate Kav ti dice che non li può rimuovere e invece poi facendo una verifica non li trovi più nella cartella system per poi riapparire quando gli pare...in realtà ci sono sempre.
Le prime mosse del troiano sono state: non rottura ma disattivazione dell'aggiornamento dell'antivirus, il firewall non si attivava più in modo da avere campo libero e collegarsi all'esterno. Subito dopo ho subito danni a office che mi chiedeva di inserire di nuovo il cd di istallazione, e così con altri programmi.
Dopo aver ripristinato il firewall e l'antivirus, gli ultimi aggiornamenti di kav rilevano come prima ma non rimuovono, mentre il firewall grazie al mio ospite riceve attacchi in entrata. Ho provato per risolvere il problema:

- A2 asquared con nessun risultato pur essendo di solito efficace
- Un tool di rimozione della sophos adatto proprio per il Rootkit ma nemmeno lo
rivela...forse perchè non è aggiornato
- Un tool della microsoft adatto per Rootkit ...nessuna rilevazione
- Il programma adatto Rootkit Revealer che serve solo a rilevarlo con nessun
risultato
- Gromzon che non lo rileva
- Gmer adatto per Rootkit che non è servito a nulla
- Counter Spy tra i primi 3 anti malware del mondo che mi ha rimosso un trojan
di pericolosità bassa e cmq non rootkit o file di esso e un cookie
- HijackThis log fatto e controllato e fatto controllare...nessun file sospetto

Ho scaricato guide di rimozioni chiavi dei Rootkit che però sono tutte informative su Rootkit con estenzioni diverse infatti quelle chiavi che mi si dice di cancellare non le trovo sotto quel nome.
L'unico vantaggio lo avuto quando da solo ho deciso di rimuovere le chiavi uscite sul log di HijackThis a istinto mio. Ecco che ho avuto una trega du 2 giorni, niente più problemi sul pc dunque disinstallo tutti i programmi danneggiati ..faccio una bella pulizia con programma adatto e reinstallo i programmi. Un bel casino...a quel punto...dopo un po di tempo senza entrare minimamente in internet accento il pc ed ecco rispuntare il troiano ...rilevati in avvio sempre da kav sempre stesso nome e sempre stessa posizione. E' inutile dire che la disattivazione del ripristino di sistema era già stata disattivata dall'inizio...come pure è inutile dire che ho provato la scansione in modalità provvisoria.
Adesso che vi ho annoiati con tutte queste chiacchiere vi chiedo...c'è una soluzione che non sia la formattazione????????

Grazie a tutti voi. :muro:

uno c'è la sezione delle infezioni; due prova con l'antirootkit di bitdefender, panda, trendmicro; e infine rootkit unhooker

uno c'è la sezione delle infezioni; due prova con l'antirootkit di bitdefender, panda, trendmicro; e infine rootkit unhooker


Uno forse volevi dire "RootKit Hook Analyzer", ....due grazie, ....tre sei stato gentilissimo... ti farò sapere se uno di questi funziona. :D

no rootkit unhooker
http://rkunhooker1.narod.ru/

l'utilità di avere uno o più HIPS installati sul proprio pc....:D
avresti mica una copia di questo simpatico giocattolino?:O

l'utilità di avere uno o più HIPS installati sul proprio pc....:D
avresti mica una copia di questo simpatico giocattolino?:O

anche io sono interessato

prova a controllare anche con darkspy e icesword

Ma hai l'ultima versione di gmer?

Bel casino comunque.

La cosa è molto interessante. Dacci tutte le informazioni possibili

Utilizzi per caso Spyware Doctor PCTools?

pure a me successo... dal 09/07/2007 antivir mi segnala:

C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP10\A0001468.sys
[DETECTION] Contains signature of the rootkit RKIT/Agent.GO
[WARNING] An error has occurred and the file was not deleted. ErrorID: 16003
[WARNING] The file could not be deleted!
C:\WINDOWS\system32\drivers\mchInjDrv.VIR
[DETECTION] Contains signature of the rootkit RKIT/Agent.GO
[INFO] The file was moved to '46fa2194.qua'!

la cosa strana è che lo trova nel notebook che uso solo nella lan aziendale e a casa ma mai su siti poco sicuri..
di anomalie nel pc non ne trovo, tutto funziona correttamente.
fino a ieri pensavo fosse un falso positivo :D

pure a me successo... dal 09/07/2007 antivir mi segnala:



la cosa strana è che lo trova nel notebook che uso solo nella lan aziendale e a casa ma mai su siti poco sicuri..
di anomalie nel pc non ne trovo, tutto funziona correttamente.
fino a ieri pensavo fosse un falso positivo :D


Penso che sia un falso positivo

http://forum.antivir-pe.de/thread.php?threadid=24120

grande GmG, efettivamente ieri non lo ho collegato ad internet per aggiornare le firme..

:)

grande GmG, efettivamente ieri non lo ho collegato ad internet per aggiornare le firme..

:)

Buona fortuna, 7 Mb di aggiornamento ;)

Buona fortuna, 7 Mb di aggiornamento ;)

ho l'adsl :D
devo anche aggiornare sto winxp :D

Adesso che vi ho annoiati con tutte queste chiacchiere vi chiedo...c'è una soluzione che non sia la formattazione?
Prova con Virit (i W32, di norma, li scova e li rimuove tutti).
Il link per il download:
http://www.tgsoft.it/italy/index_ita.html

pure a me successo... dal 09/07/2007 antivir mi segnala ....... fino a ieri pensavo fosse un falso positivo.
Infatti così parrebbe: ti riporto il testo di un comunicato rilasciato da Avira, sulla questione.

"The AntiVir false positive which affected the "Ashampoo AntiSpyware" is fixed by now.
If your system is affected by this, please perform a update of the virus definiton file immediately.
For your information:
The following false positive was detected:
"RKit/Agent.GO" in C\Windows\system32\drivers\mchInjDrv.sys
This false positive is fixed by the latest virus definition file."
Best Regards

Oliver Grbavac
Personal Support
Avira GmbH

:eek: La funzione di inserimento del collegamento ipertestuale non funziona??
In ogni caso, complimenti, davvero un bel forum.

:eek: La funzione di inserimento del collegamento ipertestuale non funziona??
In ogni caso, complimenti, davvero un bel forum.

perchè non funziona? a me si.
fai una struttura del genere:

parentesi quadra aperta URL parentesi quadra chiusa link parentasi quadra aperta/url parentesi quadra chiusa

l'utilità di avere uno o più HIPS installati sul proprio pc....:D
avresti mica una copia di questo simpatico giocattolino?:O

Ero fornito di programmi HIPS e tutte le impostazioni del pc erano al massimo di protezione e prevenzione...da dove è spuntato? Non lo so. Lo capirò.
Però devo dire che questa versione è veramente una bella variante, sophos l'ha definito un rootkit "intelligente" in un articolo. E' vero!

Ero fornito di programmi HIPS e tutte le impostazioni del pc erano al massimo di protezione e prevenzione...da dove è spuntato? Non lo so. Lo capirò.
Però devo dire che questa versione è veramente una bella variante, sophos l'ha definito un rootkit "intelligente" in un articolo. E' vero!

che HIPS c'hai?hai provato con hikacktis,gmer...insomma le baggianate del caso?

pure a me successo... dal 09/07/2007 antivir mi segnala

fino a ieri pensavo fosse un falso positivo :D

Perfetto !!! Anche a me dava il primo file infetto: C:\WINDOWS\system32\drivers\mchInjDrv.vir però il tuo è un punto vir il mio
invece me lo da con .sys comunque stessa posizione e sicuramente visto i danni intelligenti che ha fatto e la sua capacità di sparire e riapparire anche dopo 2...3 ....riavvii...sicuramente non si può confondere con un falso positivo. :muro:

che HIPS c'hai?hai provato con hikacktis,gmer...insomma le baggianate del caso?

si...certo...tranquillo sono fornito...ma la prevenzione non è servita.

verificate se avete i seguenti files:
C:\WINDOWS\system32\Drivers\mchInjDrv.sys
C:\WINDOWS\system32\drivers\KCOM.SYS
Bleh hold ford.exe

anche questo:
C:\Programmi\Adverts\uninst.exe

altro che falso positivo,a leggere i risultati di google pare roba seria...:D

si...certo...tranquillo sono fornito...ma la prevenzione non è servita.

Puoi dirci che difese hai sul pc?
E cosa hai utilizzato se questa bestiaccia è riuscita a passare capire quali protezioni è riuscita a valicare.

Puoi dirci che difese hai sul pc?
E cosa hai utilizzato se questa bestiaccia è riuscita a passare capire quali protezioni è riuscita a valicare.
perchè personalmente non credo che prosecurity si sarebbe fatto perforare; ci sono stati precedenti di ssm e pg perforati; ma mai appdefend o prosecurity

se aveva solo il PDM del Kav come Hips....
Troppo immatura la parte "hidden objects", imo...


Nomi delle fantomatiche difese, txs..:p
E, se possibile, anche uno screen delle impostazioni.



@ wizard1993:
su Appdefend non so ma è da troppo fermo quanto a sviluppo...:(
ProSec, invece,...:ciapet:

(Costo? 27 € iva inclusa + possibilità di upgrade fino all'uscita della v.2.x ....:fiufiu: )

per ritornare al problema di Jekana, mi sembra impossibile che l'ultima rev. di Rootkit Unhooker non riesca a vedere nulla di anomalo....:mbe:

http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.501.zip

ehi degasp,novità?

@ wizard1993:
su Appdefend non so ma è da troppo fermo quanto a sviluppo...:(
ProSec, invece,...:ciapet:

(Costo? 27 € iva inclusa + possibilità di upgrade fino all'uscita della v.2.x ....:fiufiu: )

peccato che ne ho già spesi 29 per appdefend; e ora sto comprando il pc nuovo, quindi appena riho 30 € me lo compro

ma tu lo hai provato appdefend?

...
ma tu lo hai provato appdefend?
si, certo, anche se un pò di tempo fà...

RegDefend, poi, (uno dei suoi 2 moduli...), lo ho utilizzato per 2(?)/3(?) anni insieme a Process Guard e ne sono sempre stato entusiasta.:)


AD, cmq, inteso come modulo "process protector", non l'ho mai amato quanto PG...


Ma, a parte questo, PS è su un altro pianeta...

...


Nomi delle fantomatiche difese, txs..:p
E, se possibile, anche uno screen delle impostazioni.



io cmq aspetto queste info con ansia...:)

prosec free vs ssm free

qual è il migliore?

Non ne ho idea

credo ssm; visto che pro sec non protegge dalla corruzione della memoria; però c'è da dire che pro sec ha un sistema di blocco rootkit 10 volte migliore

ssm visto che si parla di V.free.


Con le Pro, il discorso cambia...

ssm visto che si parla di V.free.


Con le Pro, il discorso cambia...

ssm pro se gli implementano il file system protection e gli rimettono apposto il motore contro i rootkit sarà il più grande nemico di prosecurity

hai detto bene:
se...:D

Ma PS non si ferma, perchè chi si ferma E' PERDUTO.

Quindi,
1 passo lo fà SSM, 1 passo PS
=>
PS resta avanti...:Prrr:

http://img526.imageshack.us/img526/8540/24268287ju5.th.png (http://img526.imageshack.us/my.php?image=24268287ju5.png)


PS:
+ che altro, credo che SSM (cosi' come è stato per PG...), abbia quanto mai bisogno della funzione "debug a livello di sistema"...

hai detto bene:
se...:D

Ma PS non si ferma, perchè chi si ferma E' PERDUTO.

Quindi,
1 passo lo fà SSM, 1 passo PS
=>
PS resta avanti...:Prrr:

http://img526.imageshack.us/img526/8540/24268287ju5.th.png (http://img526.imageshack.us/my.php?image=24268287ju5.png)


PS:
+ che altro, credo che SSM (cosi' come è stato per PG...), abbia quanto mai bisogno della funzione "debug a livello di sistema"...
credo anche io; chissà se la nuova versione di pg ha risolto il problema

credo anche io; chissà se la nuova versione di pg ha risolto il problema

aimè, PG non è uscito con nuove versioni dallo scorso anno...e forse non ne avrà mai +, anche se in cuor mio spero e prego il contrario....:cry:

ehi degasp,novità?

per ora ho disabilitato il rispristino di sistema, scaricato i 7,1Mb di aggiornamenti di antivir e patchato windows..
ora scansiono ma credo sicuramente sia un falso positivo perchè ho oltre alla suite di avira anche "a-squared-antimalware" e "prevx2.0" :)

per ora ho disabilitato il rispristino di sistema, scaricato i 7,1Mb di aggiornamenti di antivir e patchato windows..
ora scansiono ma credo sicuramente sia un falso positivo perchè ho oltre alla suite di avira anche "a-squared-antimalware" e "prevx2.0" :)

Il mio sistema era appena aggiornato fino all'ultima patch di sicurezza.
Aveva anche ma non solo a2 asquared....che stranamente non l'ha mai visto il problema. Falso positivo??? No assolutamente, forse perchè ogni tanto sparisce per poi riapparire? Falso positivo no!

per ritornare al problema di Jekana, mi sembra impossibile che l'ultima rev. di Rootkit Unhooker non riesca a vedere nulla di anomalo....:mbe:

http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.501.zip

Ti tengo informato...per adesso è l'unico programma che non ho ancora provato perchè i miei interventi di rimozione manuale sembra aver risolto il problema...sto tenendo sotto controllo il pc per vedere se si ripresentano i problemi...a quel punto l'unica carta che mi rimane da provare è proprio il rkunhooker.

A presto e grazie :mbe:

Puoi dirci che difese hai sul pc?
E cosa hai utilizzato se questa bestiaccia è riuscita a passare capire quali protezioni è riuscita a valicare.


Dal sito Megalab.it - notizia ultima del 12 luglio:

Il gruppo Sophos ha rilasciato da alcuni giorni la prima versione di Sophos Anti-Rootkit, un software di sicurezza studiato per scansionare il sistema alla ricerca dei rootkit.

"Come spesso accade nel settore, la definizione di rootkit assume sfumature diverse a seconda della fonte, ma possiamo raccogliere in questa categoria quei programmi malevoli che, mediante tecniche che spaziano dalla semplice modifica di impostazioni del sistema fino ad arrivare a vere e proprie sovrascritture di parti del kernel Windows, nascondono la propria presenza agli occhi dell'utente e compiono azioni diverse, quali l'apertura di backdoor, keylogging et similia: lo scopo ultimo del cracker che installa un rootkit è quello di guadagnarsi l'accesso al sistema da remoto senza essere scoperto.

Va comunque precisato che i rootkit sono molto più diffusi nel mondo Unix che non in quello Windows, ma ultimamente sono stati rintracciati alcuni programmi di questo tipo anche per il sistema operativo Microsoft (come dimenticare il caso Sony BMG?)."

Confermo che nel mio caso era falso positivo, infatti ora non ho più la segnalazione.

@ Jekana:
pure io uso a-squared ma la versione "antimalware" che possiede la scansione in tempo reale e in più prevx2.0 ma ribadisco che io usavo la suite di avira (antivirus+firewall)..

Confermo che nel mio caso era falso positivo, infatti ora non ho più la segnalazione.


Sono contento che il tuo era un falso positivo. Io confermo che, purtroppo per me, il mio non è un falso positivo. :muro:

aimè, PG non è uscito con nuove versioni dallo scorso anno...e forse non ne avrà mai +, anche se in cuor mio spero e prego il contrario....:cry:

io non so te; ma la versione che ho sempre usato di p era la 3.150 ora è uscita la 3.4
http://www.diamondcs.com.au/processguard/index.php?page=download

Salve ragazzi...
Mi unisco all'allegra,si fa per dire,compagnia...
Ieri sera ho avuto la "brillante" idea di installare sul secondo portatile(nel primo, sotto consiglio di xcdegasp ho messo terminator+a-squared)ashampoo antispyware in accoppiata con superantispyware...
Al riavvio ecco la sorpresa:F-secure mi segnala il rootkit in questione...ma non riusciva ad eliminarlo,mi diceva accesso negato...
Ho sospettato subito che era inerente ad ashampoo,perchè se spuntavo l'opzione guard f-secure lo segnalava,se la deselezionavo non c'era più l'avviso al riavvio.Alla fine l'ho disinstallato.Ho appena fatto scansioni rootkit con sophos,panda,trend,bitdefen...
Solo panda mi trova questo: c:/WINDOWS/system32/shdocvw.dll
Facendo una ricerca ho trovato che è qualcosa che ha a che fare con spyware doctor,in effetti precedentemente installato,ora non più..oppure con la protezione ie...oppure ancora con real.com....
Posso procedere all'eliminazione secondo voi?
Grazie
Saluti:)

:eek: :eek: :eek:
Dietrofront!!!
Forse già l'ospite sta iniziando la sua demolizione...
f-secure non monitorato,comodo disattivato:cry: :cry:
mi rimangono prevx,terminator,a-squared
Devo spostarmi nell'altra sezione e postare un log,è la mia prima infezione e non so come comportarmi...:mc:
http://img452.imageshack.us/img452/3625/immagineja3.th.png (http://img452.imageshack.us/my.php?image=immagineja3.png)
Grazie

:eek: :eek: :eek:
Dietrofront!!!
Forse già l'ospite sta iniziando la sua demolizione...
f-secure non monitorato,comodo disattivato:cry: :cry:
mi rimangono prevx,terminator,a-squared
Devo spostarmi nell'altra sezione e postare un log,è la mia prima infezione e non so come comportarmi...:mc:
http://img452.imageshack.us/img452/3625/immagineja3.th.png (http://img452.imageshack.us/my.php?image=immagineja3.png)
Grazie

sì vai nella sottosezione e scansiona con gmer (guarda se ti da voci in rosso), scansione con hijackthis e copia e incolla il log..

ok grazie...
con gmer già fatta nessuna voce rossa...
speriamo bene
:cry: :cry: :cry:

ok grazie...
con gmer già fatta nessuna voce rossa...
speriamo bene
:cry: :cry: :cry:


Cari amici eccomi di ritorno con le ultime novità. Per prima cosa voglio dire che basta mettere il nome del primo file .sys che vien fuori quando iniziano i problemi (mchinjdrv.sys) per capire quanti forum e quante persone si trovano nella stessa situazione e cmq senza cavarne un ragno dal buco...altro che falso positivo.
Poi vi posso per adesso confermare che Spyware Doctor non ha nessuna responsabilità ne serve a qualcosa per la rimozione come non serve gmer.
Voglio comunicare all'amico che mi ha consigliato l'ultima rev. di Rootkit Unhooker, che no è servito a nulla...infatti oggi dopo un bel po di assenza è ricomparso il problema rilevato in avvio di pc da Kav antivirus su 2 file infetti.
Da evidenziare che il bravo troiano, molto bravo a nascondersi, anche se non ho cliccato sull'opzione dell'antivirus "rimuovi" perchè sapevo già la risposta..è cmq subito dopo scomparso dalla cartella System. Altre volte invece su un mio tentativo diretto di eliminazione mi è stato risposto "impossibile eliminare perchè un file di sistema". Altra cosa da segnalare è che di solito ogni infezione trovata il mio antivirus mi scrive il nome del file nel registro...ma in questo caso non è mai successo. Rimane solo la segnalazione che ho due file infetti dunque anonimi nel pc. Mi sta venendo il dubbio che il troiano si sia plasmato dentro a2-asquared o che a2 abbia qualche responsabilità di qualche tipo anche involontaria....Almeno nel mio caso. Quindi per adesso consiglierei
2 cose:

1) Eliminate o disattivate completamente a2 asquared
2) Sostituitelo con CounterSpy con protezione in real time ma prima fate scansione pc.

Il log di hijackthis a quanto pare non serve a molto.
La lotta continua :muro: buon divertimento a tutti.

avete letto questo?

http://www.greatis.com/appdata/d/m/mchinjdrv.sys_Removal.htm

mchinjdrv.sys
MchInjDrv.sys is a driver for injecting code to other processes.
Publisher is legitimate:
http://madshi.net
But it is often used by malicious software.
Kill the file mchInjDrv.sys and remove mchInjDrv.sys from Windows startup.

Removal: mchInjDrv.sys is removed by RegRun.

Questo è un pezzo dell'infezione o sbaglio?
Ci devono essere altri file che compongono questo macello

dovrebbe esserci anche un altro file.sys che ho scritto qualche post più sopra

dovrebbe esserci anche un altro file.sys che ho scritto qualche post più sopra

Io non nessuno dei file citati...:boh:
e se vado in centro sicurezza pc è tornato tutto ok:D
non mi voglio illudere però...:rolleyes:
intanto ho postato il log nella sezione infezioni,faccio il ping-pong...:D

potreste entrambi farci vedere uno screenshot di RU, grazie?

Ripeto, mi sembra impossibile che non riesca a vedere nulla...:)

potreste entrambi farci vedere uno screenshot di RU, grazie?

Ripeto, mi sembra impossibile che non riesca a vedere nulla...:)

lo screen su quale finestra del programma lo devo fare?file hidden detector?

Cari amici eccomi di ritorno con le ultime novità. Per prima cosa voglio dire che basta mettere il nome del primo file .sys che vien fuori quando iniziano i problemi (mchinjdrv.sys) per capire quanti forum e quante persone si trovano nella stessa situazione e cmq senza cavarne un ragno dal buco...altro che falso positivo.
Poi vi posso per adesso confermare che Spyware Doctor non ha nessuna responsabilità ne serve a qualcosa per la rimozione come non serve gmer.
Voglio comunicare all'amico che mi ha consigliato l'ultima rev. di Rootkit Unhooker, che no è servito a nulla...infatti oggi dopo un bel po di assenza è ricomparso il problema rilevato in avvio di pc da Kav antivirus su 2 file infetti.
Da evidenziare che il bravo troiano, molto bravo a nascondersi, anche se non ho cliccato sull'opzione dell'antivirus "rimuovi" perchè sapevo già la risposta..è cmq subito dopo scomparso dalla cartella System. Altre volte invece su un mio tentativo diretto di eliminazione mi è stato risposto "impossibile eliminare perchè un file di sistema". Altra cosa da segnalare è che di solito ogni infezione trovata il mio antivirus mi scrive il nome del file nel registro...ma in questo caso non è mai successo. Rimane solo la segnalazione che ho due file infetti dunque anonimi nel pc. Mi sta venendo il dubbio che il troiano si sia plasmato dentro a2-asquared o che a2 abbia qualche responsabilità di qualche tipo anche involontaria....Almeno nel mio caso. Quindi per adesso consiglierei
2 cose:

1) Eliminate o disattivate completamente a2 asquared
2) Sostituitelo con CounterSpy con protezione in real time ma prima fate scansione pc.

Il log di hijackthis a quanto pare non serve a molto.
La lotta continua :muro: buon divertimento a tutti.
io devo ancora capire la tua linea difensiva...
cioè nella totalità che programmi usi?

io rimango sempre più convinto che tu abbia un firewall che non vale na ceppa o proprio tu non ce lo abbia (avere quello di windows equivale a non averlo) altrimenti ti bloccherebbe queste attività...
Comodo-Firewall e jetico sono free ;)

disinstallare a-squared-free non è saggio visto che ha un ottimo motore ma lo puoi usare solo a scansione comandata.. (puoi anche scaricarti la versione che non necessita di isntallazione ed eseguirlo da linea di comando)
infatti per la protezione a tempo reale si deve aggiungere un altro antispyware in questo modo puoi contare su due motori distinti e 2 set di enciclopedie differenti.
tra questi è indicato anche "spyware terminator" :)

risultati di rootkit unhooker:nessuna voce rossa
a questo punto penso sia stato un falso allarme...

io devo ancora capire la tua linea difensiva...
cioè nella totalità che programmi usi?

io rimango sempre più convinto che tu abbia un firewall che non vale na ceppa o proprio tu non ce lo abbia (avere quello di windows equivale a non averlo) altrimenti ti bloccherebbe queste attività...
Comodo-Firewall e jetico sono free ;)

disinstallare a-squared-free non è saggio visto che ha un ottimo motore ma lo puoi usare solo a scansione comandata.. (puoi anche scaricarti la versione che non necessita di isntallazione ed eseguirlo da linea di comando)
infatti per la protezione a tempo reale si deve aggiungere un altro antispyware in questo modo puoi contare su due motori distinti e 2 set di enciclopedie differenti.
tra questi è indicato anche "spyware terminator" :)

Caro amico,
non sono mica un novizio di pc e programmi...presumi che abbia un firewall che non vale ma su quale base lo credi? Cmq non è importante...io sono molto pignolo e ho un pc che difficilmente ha virus, trojan o problemi vari. I programmi li provo ben bene prima di stabilire se mi servono...non credo alle voci diffuse in giro per la rete. Cmq non volevo annoiarti...era solo per conoscerci meglio...dunque per risponderti ti dico che lo so che il firewall del sistema operativo è nullo...è ovvio. Ti dico che avevo, fino a poche ore fa, una grande considerazione per A2 che spesso mi ha risolto tanti problemi...ma... + tengo sotto controllo il pc per vedere come si evolve la situazione e più mi convinco che stranamente a2 (la versione full) l'ultima versione ha in qualche modo complicità con il problema almeno nel mio caso ...sarà che nel mio caso il rootkit si è annidato proprio lì...sarà che un aggiornamento del software ha qualche problema (in queste settimane se hai notato lo stanno potenziando)... sarà che il programma ha un bag...non lo so esattamente qual'è il problema...ma ti posso dire che intervenendo con l'eliminazione di a2 seguita da una pulitura del pc con programma adatto sembra di aver risolto al 90%.
Ovviamente l'ho sostituito con "counterspy"! La prima volta che l'ho istallato
mi ha scovato un trojan nascosto che un minuto prima a2 non vedeva come non ha mai visto il rootkit. Ricordo che uno degli scopi di alcuni rootkit è di nascondere trojan da rilevazioni. La mia umile opinione su spyware terminator è abbastanza negativa...l'ho provato in mesi diversi e l'ho trovato veramente mediocre...scusa ma dico quello che penso e che ho constatato...poi ovviamente ognuno di noi è libero di avere opinioni diverse.
Grazie comunque per i tuoi consigli e per il tuo intervento in questo post.
:cool:

risultati di rootkit unhooker:nessuna voce rossa
a questo punto penso sia stato un falso allarme...

Tranquillo anche a me non aveva rilevato nulla....pur essendo presente nel pc
:D

ma i file infetti alla fine quali erano,oltre a quel .sys?

Tranquillo anche a me non aveva rilevato nulla....pur essendo presente nel pc
:D

Io finora l'unica anomalia l'ho avuta col centro sicurezza,che al momento si è normalizzato.Inoltre l'f-secure non mi segnala più niente,si aggiorna,come pure comodo.Se proprio dovessero andare in malora spero allora che prevx2 mi pari il :ciapet: vista la bontà del software.

Per quanto riguarda a-squared,io al momento lo tengo,se tu hai deciso di disinstallarlo avrai le tue ragioni,opinabili forse,ma nel tuo contesto le trovo rispettabilissime,a maggior ragione se ti hanno condotto alla risoluzione del problema...
La stessa cosa è successa a me con ashampoo antispy,esperienza pessima,e in più da quando l'ho registrato messaggi pubblicitari da parte del sign.Lesani a go-go(in riferimento al rootkit:D )

Sinceramente non mi sento del tutto fuori pericolo,spero che tutto possa risolversi per il meglio;)
Saluti

ma i file infetti alla fine quali erano,oltre a quel .sys?

Io non ho avuto "il piacere" di vederli sul mio pc...cmq se 2+2=4 credo che se prima all'accensione del pc f-secure mi segnalava il virus e adesso no penso che il nemico non sia più presente o almeno se lo è non mi sta squinternando il sistema...:stordita:

dovrebbe esserci anche un altro file.sys che ho scritto qualche post più sopra


Vero...sono subito segnalati come troiani 2 file...però sicuramente sono collegati ad altri file che nella velocità di mutazione non si riesce a fare una mappa della situazione...ho provato anche ad avviare i vari programmi anti-Rootkit un secondo dopo la segnalazione del KAv che dava la posizione del file nella solita posizione che sappiamo ma non rilevavano nulla...vado a verificare nella cartella e il file in effetti era scomparso...mentre nella rilevazione continua degli scrip del kav mi risultava che ancora l'infezione era interna e presente. Cmq sembra che
con l'eliminazione di a2 il problema si è definitivamente risolto. Strano ma vero.
Sono sicuro che prossimamente si capirà di più su questa strana nuova infezione...e sono molto curioso.

Ciao ciao

Caro amico,
non sono mica un novizio di pc e programmi...presumi che abbia un firewall che non vale ma su quale base lo credi? Cmq non è importante...io sono molto pignolo e ho un pc che difficilmente ha virus, trojan o problemi vari. I programmi li provo ben bene prima di stabilire se mi servono...non credo alle voci diffuse in giro per la rete. Cmq non volevo annoiarti...era solo per conoscerci meglio...dunque per risponderti ti dico che lo so che il firewall del sistema operativo è nullo...è ovvio.

lo dico sulla base di quello che hai notificato e dall'analisi presa dal sito http://www.greatis.com/appdata/d/m/mchinjdrv.sys_Removal.htm che gentilmente l'utente "mausap" ha portato alla nostra lettura.
MchInjDrv.sys is a driver for injecting code to other processes.
un buon firewall blocca questa attività o come minimo chiede il consenso all'utente!
infatti usando il firewall di winXP queste protezioni non le potrai possedere :)

poi ognuno è libero di attribuire i giudizi che vuole e che meglio crede ma è inutile crede che a-squared con questa tipologia di infezione possa sistemarti...
del resto a-squared lo puoi usare solo quando è avvenuta l'infezione e non può di certo attivarsi magicamente per debellare la minaccia a priori ;)

Io non ho avuto "il piacere" di vederli sul mio pc...cmq se 2+2=4 credo che se prima all'accensione del pc f-secure mi segnalava il virus e adesso no penso che il nemico non sia più presente o almeno se lo è non mi sta squinternando il sistema...:stordita:
ok ma guarda lo storico di f.secure no?!:mbe:

hum.....c'è qualcosa che non quadra...:confused: in rete ci sono altre lamentele per quanto riguarda rootkit in soft di sicurezza un esempio (http://www.pctools.com/forum/showthread.php?t=48155) quest'utente dice di averlo trovato in Spyware doctor (scansione di Z.A. suite) e chiede lumi a pctools
Non sò che pensare...speriamo non sia l'inizio di una nuova era:muro:

un buon firewall blocca questa attività o come minimo chiede il consenso all'utente!


Dove l'hai letto su topolino? o sul libro di aranzulla? :D:cry: :mc:

Dove l'hai letto su topolino? o sul libro di aranzulla? :D:cry: :mc:
attività di codice iniettato sono tra quelle che deve bloccare visto che è lo stesso meccanismo di iniettare in una dll...
ma se tu sei il massimo espertone in materia sfoggia senza limitazione la tua immensa sampenzia affinchè noi sognatori possiamo istruirci :p

hum.....c'è qualcosa che non quadra...:confused: in rete ci sono altre lamentele per quanto riguarda rootkit in soft di sicurezza un esempio (http://www.pctools.com/forum/showthread.php?t=48155) quest'utente dice di averlo trovato in Spyware doctor (scansione di Z.A. suite) e chiede lumi a pctools
Non sò che pensare...speriamo non sia l'inizio di una nuova era:muro:

Stesso discorso anche per a-squared, dal forum: "The file is used by a-squared. Feel free to contact your AV vendor to report their false positive."
Ciao.

hum.....c'è qualcosa che non quadra...:confused: in rete ci sono altre lamentele per quanto riguarda rootkit in soft di sicurezza un esempio (http://www.pctools.com/forum/showthread.php?t=48155) quest'utente dice di averlo trovato in Spyware doctor (scansione di Z.A. suite) e chiede lumi a pctools
Non sò che pensare...speriamo non sia l'inizio di una nuova era:muro:

Quadra..quadra...:muro:
Installato stamattina spyware doctor sul portatile di un mio compagno di casa che ha la mia stessa configurazione di sicurezza(mi segue a routa...;) )e che si è offerto gentilmente per questa prova,f-secure si è subito risvegliato dal letargo!!!:eek:
Disinstallato,f-secure si è nuovamente assopito...:stordita:
Fate un pò voi...:rolleyes:
La confusione,al momento,la fa da padrone...
Saluti:)

Quadra..quadra...:muro:
Installato stamattina spyware doctor sul portatile di un mio compagno di casa che ha la mia stessa configurazione di sicurezza(mi segue a routa...;) )e che si è offerto gentilmente per questa prova,f-secure si è subito risvegliato dal letargo!!!:eek:
Disinstallato,f-secure si è nuovamente assopito...:stordita:
Fate un pò voi...:rolleyes:
La confusione,al momento,la fa da padrone...
Saluti:)

fai un cosa, fai una doppia installazione di xp (Dual boot) e trasferisci tutti i dati perbenino; poi formatta l'xp vecchio

attività di codice iniettato sono tra quelle che deve bloccare visto che è lo stesso meccanismo di iniettare in una dll...

ma che ca**o dici? guarda che non è detto che un firewall debba avere un semi hips integrato come kerio, comodo ecc ecc, forse ti stai spiegando male, il firewall deve avvisarti che il processo è stato modificato e stà accedendo ad internet, su questo sono daccordo, ma non che debba bloccare tale operazione(injected).

Ciao

fai un cosa, fai una doppia installazione di xp (Dual boot) e trasferisci tutti i dati perbenino; poi formatta l'xp vecchio

Artiglieria pesante:huh:
Al momento passo...:stordita:

lo dico sulla base di quello che hai notificato e dall'analisi presa dal sito http://www.greatis.com/appdata/d/m/mchinjdrv.sys_Removal.htm che gentilmente l'utente "mausap" ha portato alla nostra lettura.

un buon firewall blocca questa attività o come minimo chiede il consenso all'utente!
infatti usando il firewall di winXP queste protezioni non le potrai possedere :)

poi ognuno è libero di attribuire i giudizi che vuole e che meglio crede ma è inutile crede che a-squared con questa tipologia di infezione possa sistemarti...
del resto a-squared lo puoi usare solo quando è avvenuta l'infezione e non può di certo attivarsi magicamente per debellare la minaccia a priori ;)

Non so il tuo nome..cmq...con la massima tranquillità ti dico che abbiamo un problema di comprensione. E' inutile che mi ripeti le funzioni che ho con il teorico firewall di Xp ..so già di cosa è capace o per meglio dire quanto è incapace!
Visto che mi sei simpatico ti dico cosa avveniva quando avviavo il pc e subito il mio Kav mi segnalava i 2 troiani...bene dopo la segnalazione e l'ordine da parte mia di rimozione con risposta negativa, il mio firewall stava buono buono e tranquillo senza segnalare nessun tentativo di uscita da parte di nessun file.
Ovviamente ero off-line ancora...subito dopo mi son connesso ed ecco arrivare una serie di attacchi sul pc ...segnalati e bloccati dal firewall...credo che dall'esterno si rilevava l'infezione della macchina...come credo che non avevo nessuna richiesta di uscita strana perchè nel firewall era impostato che a2 era autorizzato ad uscire per aggiornarsi senza bisogno di chiedermi niente, quindi l'amico usciva.
Aggiungo per risponderti in modo completo che con a2 in real time puoi avere anche una protezione preventiva ...e ti segnala anche tentativi di modifiche di chiavi di registro del sistema chiedendoti autorizzazione...quindi sei informato male...ma questa volta il Rootkit si è annidato superando il buon a2 e si è creato la casetta proprio dentro a2 ...infatti tutte le scansioni fatte successivamente con a2 non hanno mai segnalato niente, nemmeno il trojan rilevato con "counterspy" che cmq era un'altro tipo di trojan. Ricordo che alcuni siti attendibili specificano che certi tipi di Rootkit hanno anche la funzione di nascondere altri trojan. Il primo sospetto che l'infezione si era plasmata in a2 l'ho avuta la prima volta con il log di HijackThis che l'unica cosa che mi segnalava come "sospetto" quindi da controllare era proprio la posizione dei file di a2 nel sistema operativo. Eliminato a2 (non so ancora se completamente) eliminato il Rootkit. Spero che adesso ci siamo capiti meglio.

Ciao amico e grazie.

hum.....c'è qualcosa che non quadra...:confused: in rete ci sono altre lamentele per quanto riguarda rootkit in soft di sicurezza un esempio (http://www.pctools.com/forum/showthread.php?t=48155) quest'utente dice di averlo trovato in Spyware doctor (scansione di Z.A. suite) e chiede lumi a pctools
Non sò che pensare...speriamo non sia l'inizio di una nuova era:muro:

Lancetta i tuoi dubbi sono legittimi. Allora dopo 5 giorni di prove e riprove sono arrivato a delle conclusioni. E' vero ...alcuni dicono che l'infezione era dentro Spywar doctor,nei vari forum trovi gente che dice che lo ha trovato dentro Ashampoo. Io personalmente posso con certezza dire che era dentro a2. Come posso dire che, dopo aver preso l'infezione, tra i programmi di rimozione che ho usato nella disperazione più assoluta, visto che non se ne veniva a capo, ho messo e provato anche Spyware Doctor che non è servito a niente come rilevazione, anzi mi ha rilevato 2 falsi positivi da ridere con pericolosità bassa. Ho eliminato quindi Spyware doctor e ti posso dire che non ho avuto problemi di peggioramento infezione quando era istallato come non avuto nessun miglioramento quando l'ho eliminato. Arrivando al dunque, secondo me si plasma nei programmi di difesa che uno ha bucando per adesso le rilevazioni difensive. Quindi ognuno se lo ritrova in un programma diverso e ben camuffato. La cosa che volevo sottolineare, per capire con che cosa abbiamo a che fare, e che dopo la prima connessione appena infettato, il mio pc ha subito una serie di attacchi prontamente bloccati dal mio buon firewall, da quel momento il mio firewall è stato danneggiato e quindi non si avviava più perchè rappresentava un ostacolo. Ho dovuto eliminarlo e rimetterlo e alzare le difese.
Secondo me hai detto bene...siamo all'inizio di una nuova era.

...non riesco a carpire cosa intendi per
questa volta il Rootkit si è annidato superando il buon a2 e si è creato la casetta proprio dentro a2 ...infatti tutte le scansioni fatte successivamente con a2 non hanno mai segnalato niente, nemmeno il trojan rilevato con "counterspy" che cmq era un'altro tipo di trojan
e

Eliminato a2 (non so ancora se completamente) eliminato il Rootkit.

sarà mica che kaspersky come rilevava i trojan o quel chispios che c'era li rimuoveva pure?!....:mbe:

...non riesco a carpire cosa intendi ...sarà mica che kaspersky come rilevava i trojan o quel chispios che c'era li rimuoveva pure?!....:mbe:

Non so cosa vuoi dire, se la domanda è se Kav rimuoveva il Rootkit...la risposta è no! Se invece vuoi sapere perchè Kav non vedeva quel trojan rimosso poi da altro programma...ti dico che Kav pur essendo un ottimo antivirus ogni tanto si fa scappare qualche Trojan....di solito il buon a2 completava la mancanza di rilevazione e di rimozione di Kav...quindi per me i 2 assieme portavano la protezione di rilevazione e rimozione a un buon livello.

Non so se ho soddisfatto i tuoi dubbi...spero di si.

per curiosità...da dove hai scaricato e quando hai installato a2squared?

@ Jekana: non avevi specificato a2-squared-antimalware e non è scontato che si acquisti unalicenza quando esiste un medesimo prodotto free..
quindi ero partito dal presupposto che avessi la free perchè "modello base" :)
l'antimalware lo uso pure io.


@ lucas84:
ho espresso male quello che volevo dire anzi ho omesso delle parti essenziali nel discorso...
il firewall deve avvisarti che il processo è stato modificato e stà accedendo ad internet, su questo sono daccordo
intendevo proprio questo e non che dovesse svolgere il ruolo di hips, anche se l'idea non sarebbe male...

Ho seguito con curiosità l'intera discussione.
Prima vorrei fare una piccola considerazione (se qualcuno mi offre, poi, una risposta in merito, sarebbe gradita: sulla questione, una nota software house ha rilasciato un comunicato ufficiale (nel thread è stato linkato non ricordo da chi, e pure, riportato, il testo, da me) nel quale segnala il problema come un "falso positivo".
La domanda è: per quale ragione o a che scopo, una software house che è sempre apparsa seria, si mette a raccontare una panzana ai propri utenti ultilizzatori?.
Andiamo oltre; preso dalla curiosità ho controllato, attentamente, il mio P.C., senza trovare una minima traccia del problema in questione.
Può essere che dipenda dal tipo di configurazione di sicurezza (la mia, di base è: Nod32 + Outpost Professional + AdAware Professional integrato con un Ad-watch).
Ciò che più mi ha incuriisito è che qualcuno ritenga possa, in qualche maniera, dipendere da A-Squared.
Curiosamente, anche io utlizzo A-Squared (è aggiornatissimo) e, come detto prima, non ho rilevato alcun problema.
Quindi mi sorge un dubbio: tenuto conto del fatto che il problema si è evidenziato, improvvisamente, da qualche giorno, nessuno ha pensato possa dipendere da qualche recente aggiornamento rilasciato dalla Microsoft (in fondo, non sarebbe la prima volta che accade)?.

Ho seguito con curiosità l'intera discussione.
Prima vorrei fare una piccola considerazione (se qualcuno mi offre, poi, una risposta in merito, sarebbe gradita: sulla questione, una nota software house ha rilasciato un comunicato ufficiale (nel thread è stato linkato non ricordo da chi, e pure, riportato, il testo, da me) nel quale segnala il problema come un "falso positivo".
La domanda è: per quale ragione o a che scopo, una software house che è sempre apparsa seria, si mette a raccontare una panzana ai propri utenti ultilizzatori?.
Andiamo oltre; preso dalla curiosità ho controllato, attentamente, il mio P.C., senza trovare una minima traccia del problema in questione.
Può essere che dipenda dal tipo di configurazione di sicurezza (la mia, di base è: Nod32 + Outpost Professional + AdAware Professional integrato con un Ad-watch).
Ciò che più mi ha incuriisito è che qualcuno ritenga possa, in qualche maniera, dipendere da A-Squared.
Curiosamente, anche io utlizzo A-Squared (è aggiornatissimo) e, come detto prima, non ho rilevato alcun problema.
Quindi mi sorge un dubbio: tenuto conto del fatto che il problema si è evidenziato, improvvisamente, da qualche giorno, nessuno ha pensato possa dipendere da qualche recente aggiornamento rilasciato dalla Microsoft (in fondo, non sarebbe la prima volta che accade)?.

non credo dipenda da aggiornamenti microsoft perchè questi vengono rilasciati solo il 2° martedì del mese...
nel mio caso era proprio un falso positivo ma non avevo mai dato l'imput di metterlo in quarantena.

Jekana ha portato ai nostri occhi una vicenda alquanto strana e che si è incerti a definirla un falso positivo...

Tanto per la cronaca...
Io ho installato ashampoo antispyware(mio pc) e spyware doctor(pc di un amico,stamattina) da cd allegati a 2 riviste diverse...:mbe:
Se non ricordo male nelle relative sezioni le riviste specificavano che i software presenti nel cd fossero stati ipercontrollati(normale routine)da svariati software di sicurezza...:rolleyes:

per curiosità...da dove hai scaricato e quando hai installato a2squared?

Ovviamente dal sito ufficiale...sempre avuto mai problemi...ma ho notato che ultimamente stanno spesso rilesciando delle release sel software sempre più teoricamente migliori...infatti ogni tanto lo scarico e lo sostituisco...preferisco così che l'aggiornamento software su una base un po vecchiotta. :D

@ Jekana: non avevi specificato a2-squared-antimalware e non è scontato che si acquisti unalicenza quando esiste un medesimo prodotto free..
quindi ero partito dal presupposto che avessi la free perchè "modello base" :)
l'antimalware lo uso pure io.



In un mio scritto precedente avevo specificato a2 -asquared full

Sembra comunque che il problema relativo a questo fantomatico MchInjDrv non è recentissimo, interessati questi 3d su wilders:
http://www.wilderssecurity.com/showthread.php?t=47024
http://www.wilderssecurity.com/showthread.php?t=150519&highlight=MchInjDrv
effettivamente qualcosa di strano ce'.

Ho seguito con curiosità l'intera discussione.
Prima vorrei fare una piccola considerazione (se qualcuno mi offre, poi, una risposta in merito, sarebbe gradita: sulla questione, una nota software house ha rilasciato un comunicato ufficiale (nel thread è stato linkato non ricordo da chi, e pure, riportato, il testo, da me) nel quale segnala il problema come un "falso positivo".
La domanda è: per quale ragione o a che scopo, una software house che è sempre apparsa seria, si mette a raccontare una panzana ai propri utenti ultilizzatori?.
Andiamo oltre; preso dalla curiosità ho controllato, attentamente, il mio P.C., senza trovare una minima traccia del problema in questione.
Può essere che dipenda dal tipo di configurazione di sicurezza (la mia, di base è: Nod32 + Outpost Professional + AdAware Professional integrato con un Ad-watch).
Ciò che più mi ha incuriisito è che qualcuno ritenga possa, in qualche maniera, dipendere da A-Squared.
Curiosamente, anche io utlizzo A-Squared (è aggiornatissimo) e, come detto prima, non ho rilevato alcun problema.
Quindi mi sorge un dubbio: tenuto conto del fatto che il problema si è evidenziato, improvvisamente, da qualche giorno, nessuno ha pensato possa dipendere da qualche recente aggiornamento rilasciato dalla Microsoft (in fondo, non sarebbe la prima volta che accade)?.

Non ho tenuto in considerazione almeno io la tua segnalazione di falso positivo perchè:

1) Da quando si è presentato il Rootkit ha creato danni a molti programmi nel pc come per esempio il pacchetto office ecc.. ho dovuto disinstallare e reinstallare.

2) Alla prima connessione visto che era una vera e propria infezione sono stato immediatamente investito da attacchi continui che il mio firewall bloccava...mentre adesso che ho risolto il problema gli attacchi sono finiti.

3) La successiva rottura del firewall perchè evidentemente un ostacolo per il
trojan e per i tentativi di intrusione è un altra prova evidente...il software non si voleva più avviare come l'antivirus non si voleva più aggiornare. Anche qui
ho dovuto disinstallare e reinstallare in più polire con programma specifico per
eventuali file ecc.. rimasti in giro nella macchina.

4) La segnalazione di disposizione di file del programma a2 definiti "sospetti" e quindi da controllare data dall'analisi con HijackThis si sono rilevati alla fine esatti con mia grande meraviglia.

Voglio sottolineare che nessuno sta dicendo che la colpa è di a2 reputato anche da me un programma serio. Anche perchè in molti casi l'ospite è stato segnalato dentro un altro programma come ad esempio Spyware Doctor ecc

Non so se può dipendere da un aggiornamento di microsoft...io ad esempio in questo momento ho tutti gli ultimi aggiornamenti di microsoft e ho risolto il problema (nel mio caso) eliminando a2.

Non ho tenuto in considerazione almeno io la tua segnalazione di falso positivo perchè:

1) Da quando si è presentato il Rootkit ha creato danni a molti programmi nel pc come per esempio il pacchetto office ecc.. ho dovuto disinstallare e reinstallare.

2) Alla prima connessione visto che era una vera e propria infezione sono stato immediatamente investito da attacchi continui che il mio firewall bloccava...mentre adesso che ho risolto il problema gli attacchi sono finiti.

3) La successiva rottura del firewall perchè evidentemente un ostacolo per il
trojan e per i tentativi di intrusione è un altra prova evidente...il software non si voleva più avviare come l'antivirus non si voleva più aggiornare. Anche qui
ho dovuto disinstallare e reinstallare in più polire con programma specifico per
eventuali file ecc.. rimasti in giro nella macchina.

4) La segnalazione di disposizione di file del programma a2 definiti "sospetti" e quindi da controllare data dall'analisi con HijackThis si sono rilevati alla fine esatti con mia grande meraviglia.

Voglio sottolineare che nessuno sta dicendo che la colpa è di a2 reputato anche da me un programma serio. Anche perchè in molti casi l'ospite è stato segnalato dentro un altro programma come ad esempio Spyware Doctor ecc

Non so se può dipendere da un aggiornamento di microsoft...io ad esempio in questo momento ho tutti gli ultimi aggiornamenti di microsoft e ho risolto il problema (nel mio caso) eliminando a2.

Io ancora non ho capito

a) che difese hai e come sono configurate

b) come hai risolto

tutto molto vago e generico. Se entri nello specifico sarebbe utile per chi
ha una soluzione analoga alla tua. Evidentemente non basta

Io gli aggiornamenti microsoft li ho applicati dopo che antivir mi diede il falso positivo quindi escludo sia quello ;)
- considera che gli aggiornamenti vengono rilasciati solo il secondo martedì di ogni mese -

non è che f secure abbia preso na cantonata...in rete la mggior parte degli utenti il problema lo riscontra sopratutto con lui....mah!:confused:

non è che f secure abbia preso na cantonata...in rete la mggior parte degli utenti il problema lo riscontra sopratutto con lui....mah!:confused:
Beh .... pare non solo F-Secure a questo punto, ma anche altri antivirus che utlizzano l'engine di Kaspersky.
Comunque, se serve, qualcosa in merito, ho trovato in rete:
http://www.pctools.com/forum/showthread.php?t=48155
Sembrerebbe, che questo famigerato RootKit.win32.Agent.Go, possa essere rimosso con AVG Antirootkit (altro software che, peraltro, uso regolarmente).

non è che f secure abbia preso na cantonata...in rete la mggior parte degli utenti il problema lo riscontra sopratutto con lui....mah!:confused:

Non credo ...io l'ho rilevato con Kav e non sono l'unico...e ho letto di altri in internet che hanno rilevato il troiano con altri antivirus.

Comunque adesso ho risolto...almeno sembra che tutto va bene. :D

Beh .... pare non solo F-Secure a questo punto, ma anche altri antivirus che utlizzano l'engine di Kaspersky.
Comunque, se serve, qualcosa in merito, ho trovato in rete:
http://www.pctools.com/forum/showthread.php?t=48155
Sembrerebbe, che questo famigerato RootKit.win32.Agent.Go, possa essere rimosso con AVG Antirootkit (altro software che, peraltro, uso regolarmente).

Questo che segnali non l'ho provato quando ho avuto il problema...ma cmq tanti di quelli che ho usato garantivano la rimozione e poi hanno fatto cilecca. Forse non erano ancora pronti sulla versione .go - nel caso in cui dovesse ripresentarsi il problema proverò questa tool di rimozione di AVG. Grazie per la segnalazione. ;)

effettivamente sì....il problema nasce con f secure e kaspersky qualcuno anche con la Z.A security suite (engine kasper)hmm..la cosa fà pensare ..bisogna vedere gli ultimi risvolti...

Beh .... pare non solo F-Secure a questo punto, ma anche altri antivirus che utlizzano l'engine di Kaspersky.
Comunque, se serve, qualcosa in merito, ho trovato in rete:
http://www.pctools.com/forum/showthread.php?t=48155
Sembrerebbe, che questo famigerato RootKit.win32.Agent.Go, possa essere rimosso con AVG Antirootkit (altro software che, peraltro, uso regolarmente).


Sono andato sul sito ufficiale e l'Antirrotkit che segnali è stato rilasciato a marzo,
un po' vecchiotto...

Grazie lo stesso.

Sono andato sul sito ufficiale e l'Antirrotkit che segnali è stato rilasciato a marzo,
un po' vecchiotto... Grazie lo stesso.
A maggior ragione.
Possibile che, a marzo, l'antirootkit di AVG fosse cosi aggiornato da prevenire una infezione come quella che ti ha riguardato al contrario di alcuni antivirus che utlizzano l'engine di Kaspersky (con rilevamento luglio?).
I casi sono due: o si tratta, davvero, di un falso positivo (e ci rimanda al comunicato di AVIRA) oppure, a partire da Kaspersky, per finire (vedi notizie in rete) a tutti gli antivirus che ulitizzano l'engine di Kaspersky, qualcosa non funziona.
Voglio sottolinerare come, oggi, ho lanciato una scansione sul PC di un amico sul quale + installato Kasp + A-Squared ed, a parte le solite porcherie, A-Squared prima e Kasp dopo, non hanno rilevato alcunché.

A maggior ragione.......
Voglio sottolinerare come, oggi, ho lanciato una scansione sul PC di un amico sul quale + installato Kasp + A-Squared ed, a parte le solite porcherie, A-Squared prima e Kasp dopo, non hanno rilevato alcunché.

presumo con database infezioni più aggiornato....giusto?

presumo con database infezioni più aggiornato....giusto?
Certamente, Lancetta, e per entrambi i software.
Non solo, giusto per pignoleria, ho installato su quella macchina AVG Antirootkit (aggiornato alla ultima release) e eseguita una scansione, senza rilevare nulla di anomalo.
A questo punto, cè da ritenere che la vera anomalia sia, da una parte, quella segnalata da Jekana con il suo post e, dall'altra, il fatto che il problema in questione abbia coinvolto utenti che utilizzano antivirus che sfruttano l'engine di Kaspersky; al proposito, sarebbe interessante accertare se qualche utilizzatore di AVS abbia riscontrato gli stessi problemi (anche, se, come ho precisato, sulla macchina del mio amico è installato Kaspersky).
Resta, comunque, da comprendere, la ragione per la quale, la software House di Avira, abbia considerato questo rootkit un "falso positivo".

A maggior ragione.
Possibile che, a marzo, l'antirootkit di AVG fosse cosi aggiornato da prevenire una infezione come quella che ti ha riguardato al contrario di alcuni antivirus che utlizzano l'engine di Kaspersky (con rilevamento luglio?).
I casi sono due: o si tratta, davvero, di un falso positivo (e ci rimanda al comunicato di AVIRA) oppure, a partire da Kaspersky, per finire (vedi notizie in rete) a tutti gli antivirus che ulitizzano l'engine di Kaspersky, qualcosa non funziona.
Voglio sottolinerare come, oggi, ho lanciato una scansione sul PC di un amico sul quale + installato Kasp + A-Squared ed, a parte le solite porcherie, A-Squared prima e Kasp dopo, non hanno rilevato alcunché.

Riverside non prendermi per presunzione o polemico, ma vedi questo nostro confronto come uno scambio di informazioni e di esperienze costruttivo...dunque: :D

Per prima cosa voglio dirti che anche io conosco persone che hanno Kav antivirus + A-squared e non hanno nessun problema, come conosco persone
che hanno Kav + spyware doctor e nessun problema segnalato...e così via per Ashampoo perchè qualcuno il rootkit lo ha trovato dentro Ashampoo.
Detto questo sono sicuro che il problema non si presenta a tutte le persone che hanno quei programmi istallati. Obbligatoriamente e immediatamente.
Come personalmente considero Avg come nettamente inferiore a Kav ma questa è una mia personale convinzione. Kav secondo me non ha fatto male il suo lavoro perchè mentre 8 programmi ...famosi anti-rootkit però tutti di qualche mese fa... mi segnalavano il pc pulito ...il buon Kav in avvio ...quando faceva la scansione di tutti i file in avvio mi dava 2 troiani presenti. E guarda che me li dava presenti anche quando manualmente andavo nella cartella system32 e rovistando tra le sys alla vista non esistevano più. Si verificava un camuffamento dei file tipico dei rootkit, se non mi credi lo puoi leggere nei vari siti specializzati, anzi se permetti ti riporto un pezzetto di testo:

"...la definizione di rootkit assume sfumature diverse a seconda della fonte, ma possiamo raccogliere in questa categoria quei programmi malevoli che, mediante tecniche che spaziano dalla semplice modifica di impostazioni del sistema fino ad arrivare a vere e proprie sovrascritture di parti del kernel Windows, nascondono la propria presenza agli occhi dell'utente e compiono azioni diverse, quali l'apertura di backdoor, keylogging et similia: lo scopo ultimo del cracker che installa un rootkit è quello di guadagnarsi l'accesso al sistema da remoto senza essere scoperto..."

E' quello che è successo a me, i file infatti riapparivano e poi sparivano ma anche quando teoricamente non esistevano facevano danni. L'unico che mi ha indicato la strada su dove poteva essersi nascosto qualcosa di strano è stato HijackThis con la definizione "sospetto controllare"...ma all'inizio sono stato un po restio a credere che a2 poteva essere sospetto.

La mia umile opinione è questa: le nuove versioni di rootkit entrano nel pc non so in che modo e si insediano proprio nei programmi che dovrebbero difenderci
perchè così diventano insospettabili e cmq essendo dentro un programma che teoricamente dovrebbe trovarli, la scansione da un analisi sbagliata...quindi a me a2 mi diceva che il pc era pulito. Per adesso mi sembra che il ".go" si sia sempre insediato dentro anti-malware o anti-trojan ma non dentro antivirus.
Poi si camuffa con file di sistema e con file del programma infettato. Nel caso specifico del rootkit.go che mi ha colpito, la prima cosa che ha fatto è di disattivare l'aggiornamento dell'antivirus...però l'antivirus non l'ha rotto in modo evidente perchè questo poteva insospettire. Nel momento in cui in avvio e solo in avvio l'antivirus (e questo dimostra che Kav va bene) scopriva i file infetti che non riusciva a rimuovere...stranamente subito dopo sparivano per un po di tempo dalla cartella system. Non ho avuto la possibilità neppure di isolarne uno per mandarlo ad analizzare.
Poi in connessione iniziavano i tentativi di ingresso con attacchi...ma il firewall era un problema...quindi stranamente al successivo riavvio della macchina il firewall non si voleva più riavviare. Ecco come sono andate le cose e di conseguenza quali sono le mie convinzioni momentanee. Poi può essere che mi sbaglio...però una cosa è sicura questa esperienza mi ha fatto perdere molto ...troppo tempo...e se i geni che producono trojan si orientano sempre più su questa linea mi sa che chi si occupa di programmi di difesa si deve muovere a trovare una soluzione che anticipi veramente l'infezione. ;)

prova a passare a soluzioni specifiche.. ossia un antivirus che faccia solo quello e firewall come outpost o comodo...

Riverside non prendermi per presunzione o polemico, ma vedi questo nostro confronto come uno scambio di informazioni e di esperienze costruttivo...
Non ne dubito Jekana, ci mancherebbe altro, e lo prendo per quel che deve essere, ovvero un confronto costruttivo.
Tra l'altro, c'è sempre qualcosa da apprendere e, questo non fa, di certo, male.
Detto questo sono sicuro che il problema non si presenta a tutte le persone che hanno quei programmi istallati. Obbligatoriamente e immediatamente.
E’ questa la ragione per la quale ho definito “anomalia” quella da te segnalata.
Non era certo mia intenzione mettere in discussione ciò che è accaduto, ma a fronte di quanto, da te esposto e, di quanto esposto da altri in rete rispetto al medesimo problema, l’unica cosa che è emersa con certezza è che gli utenti maggiormente colpiti sono proprio quelli che utilizzano software antivirus che sfruttano l’engine di Kaspersky (altra anomalia??).
Come personalmente considero Avg come nettamente inferiore a Kav ma questa è una mia personale convinzione.
Se parli di antivirus, sono pienamente d’accordo con te (ci mancherebbe altro); il mio riferimento era, ovviamente, a AVG Antirootkit e non al sotftware antivirus.
"...la definizione di rootkit assume sfumature diverse a seconda della fonte…….
Credo di conoscere come si comporta e a che livello agisce un rootkit (tra l’altro, neppure può definirsi una nuova classe di malware, essendo, se non sbaglio, una routine sviluppata diversi anni fa, a fini di amministrazione di sistemi Unix) ed esempi di infezioni ampiamente, o meno, diffuse (prendi Gromozon/Linkoptimzer, tanto per citarne uno) che utilizzano metologie per nascondere, al sistema operativo ed agli antivirus la presenza di programmi dannosi e con i quali dover fare i conti, sono, purtroppo, all’ordine del giorno.
Il fatto è che, non siamo riusciti a determinare come e da dove sia sorto il problema da te evidenziato (che poi tu lo abbia, brillantemente, risolto, è un altro paio di maniche) ed è quello, ritengo, interesserebbe maggiormente.
Come, peraltro, sarebbe da capire, da una parte, (e lo ho già sottolineato in qualche mio precedente intervento), per quale ragione, una software house seria quale è Avira, lo abbia classificato come falso positivo e, dall’altra si evidenzia come, gli utenti che hanno, in rete, manifestato il tuo stesso problema, siano quelli che utilizzano antivirus che sfruttano l’engine di Kaspersky.
Alla fine della fiera, così come, Lancetta, di fronte a questa questione (e non rispetto a quel che ti è accaduto, per cui non ho ragione di dubitare) resto perplesso.
prova a passare a soluzioni specifiche.. ossia un antivirus che faccia solo quello e firewall come outpost o comodo...
Potrebbe essere una soluzione anche se, credo che, per un utilizzatore che ha scelto Kaspersky, rinunciarvi non deve essere facile (io, ad esempio, non rinuncerei, mai alla mia configurazione di sicurezza).

[QUOTE=Riverside;17926655]
Se parli di antivirus, sono pienamente d’accordo con te (ci mancherebbe altro); il mio riferimento era, ovviamente, a AVG Antirootkit e non al sotftware antivirus.



Certo parlavo di Avg antivirus...siamo d'accordo.



quote Riverside:
Credo di conoscere come si comporta e a che livello agisce un rootkit (tra l’altro, neppure può definirsi una nuova classe di malware, essendo, se non sbaglio, una routine sviluppata diversi anni fa, a fini di amministrazione di sistemi Unix)



Non avevo dubbi che sapevi...non sbagli era diretto soprattutto per sistemi Unix.




quote Riverside:
Potrebbe essere una soluzione anche se, credo che, per un utilizzatore che ha scelto Kaspersky, rinunciarvi non deve essere facile (io, ad esempio, non rinuncerei, mai alla mia configurazione di sicurezza).



Anche qui hai ragione, difficile cambiare un ottimo antivirus come "Kav antivirus personal" (attenzione non la 6) e con le relative impostazioni di controllo attacchi disabilitate....cioè un antivirus a tutti gli effetti ....ottimo direi. Secondo me un passo più avanti di nod32 (altro ottimo antivirus)

Il mio Firewall? E' un firewall sufficentemente efficace. Si certo potrei provare
comodo viste le notizie che girano...dicono che è un buon firewall ma a questo punto se devo sostituire un buon firewall per un altro ipotetico buon firewall (tutte e due software) allora preferisco, se decido di fare cambiamenti seri, di sostituirlo con un firewall hardware. Sono convinto comunque che la sicurezza di un pc parta prima da come è "impostata" la macchina nel complesso. ;)
Settare tutto nei migliori dei modi non è da poco ma purtroppo pochi sanno come farlo e magari non sanno nemmeno che dovrebbero farlo. :(

Potrebbe essere una soluzione anche se, credo che, per un utilizzatore che ha scelto Kaspersky, rinunciarvi non deve essere facile (io, ad esempio, non rinuncerei, mai alla mia configurazione di sicurezza).

intendevo abbandonare il kis per preferire il kav + comodo o jetico o outpost-pro...
per una prova e vedere cosa succede...
in uno screenshot presente in uno dei link postati da Chill-Out si notava chiaramente che Comodo bloccava un'azione di un programma...
ero curioso se fosse lo stesso caso.



@ Jekana:
credo tu sappia molto bene cosa non offre un firewall-hardware rispetto ad uno software quindi è inutile in questo caso prenderlo in esame come sostituto di uno software, semmai è un componente aggiuntivo! ;)
Ad ognuno le proprie decisioni e per loro natura implicano delle prese di responsabilità e sono queste che ci fanno migliorare e continuamente modificare la nostra configurazione... se una determinata combinazione di programmi si rilevasse insufficente il giorno dopo sicuramente uno dei programmi verrebbe sostituito ma non deve essere per forza l'antivirus quello ad abbandonarte il campo!
bisogna essere molto chiari e trasparenti perchè da qualche parte quel malware ci è arrivato e qualcosa non ha fermato una possibile iniezione di dati in un servizio segnalando così l'infezione all'esterno..
quindi magari provando un firewall differente si riuscirebbe a capire meglio il meccanismo dell'infezione.

intendevo abbandonare il kis per preferire il kav + comodo o jetico o outpost-pro...
per una prova e vedere cosa succede...
in uno screenshot presente in uno dei link postati da Chill-Out si notava chiaramente che Comodo bloccava un'azione di un programma...
ero curioso se fosse lo stesso caso.



@ Jekana:
credo tu sappia molto bene cosa non offre un firewall-hardware rispetto ad uno software quindi è inutile in questo caso prenderlo in esame come sostituto di uno software, semmai è un componente aggiuntivo! ;)
Ad ognuno le proprie decisioni e per loro natura implicano delle prese di responsabilità e sono queste che ci fanno migliorare e continuamente modificare la nostra configurazione... se una determinata combinazione di programmi si rilevasse insufficente il giorno dopo sicuramente uno dei programmi verrebbe sostituito ma non deve essere per forza l'antivirus quello ad abbandonarte il campo!
bisogna essere molto chiari e trasparenti perchè da qualche parte quel malware ci è arrivato e qualcosa non ha fermato una possibile iniezione di dati in un servizio segnalando così l'infezione all'esterno..
quindi magari provando un firewall differente si riuscirebbe a capire meglio il meccanismo dell'infezione.

Come hai potuto notare non uso il Kis quindi un tutto in uno.
So per certo visto che mi sono spesso confrontato con persone esperte in sicurezza alcuni di fama nazionale che non c'è alcun dubbio che la protezione che hai con firewall hardware è di gran lunga superiore rispetto a qualunque software. Lo dico senza tono polemico e rispetto cmq il tuo modo di vedere.
Certo bisogna anche spendere soldi...perchè sappiamo anche quanto sono scarsi i firewall hardware da 200...300 euro. Bisogna avere la possibilità di spendere un po di soldi per avere una buona protezione e poi bisogna saperlo impostare...ovviamente. Se vuoi sapere il mio punto di vista su come l'infezione ha potuto prendere piede dentro il mio pc ti dico che ho due ipotesi:
credo che possa essere uno script maligno che innesca la cosa...oppure un file che ho scaricato dentro il pc ....video (presumo...sempre presumo)... ovviamente quando scarico un file dentro il pc prima di aprirlo gli faccio sempre una scansione preventiva...ma dobbiamo considerare che forse quel tipo di rootkit.go non si trovava ancora nel database o forse quando è latente non viene rilevato e dopo aver fatto partire il video si innescato. Questa ultima ipotesi non mi meraviglierebbe vista la capacità dei rootkit di scomparire e riapparire....spegnersi e riaccendersi...e modificarsi e plasmarsi dentro file di altri programmi o del sistema operativo.

Ciao e grazie per il tuo intervento...io continuo a comunicarvi comunque buone notizie...cioè il mio pc continua ad essere perfetto...sembra che questa volta sia stato debellato in modo definitivo.

Ciauz

Come hai potuto notare non uso il Kis quindi un tutto in uno.
So per certo visto che mi sono spesso confrontato con persone esperte in sicurezza alcuni di fama nazionale che non c'è alcun dubbio che la protezione che hai con firewall hardware è di gran lunga superiore rispetto a qualunque software. Lo dico senza tono polemico e rispetto cmq il tuo modo di vedere.
Certo bisogna anche spendere soldi...perchè sappiamo anche quanto sono scarsi i firewall hardware da 200...300 euro. Bisogna avere la possibilità di spendere un po di soldi per avere una buona protezione e poi bisogna saperlo impostare...ovviamente. Se vuoi sapere il mio punto di vista su come l'infezione ha potuto prendere piede dentro il mio pc ti dico che ho due ipotesi:
credo che possa essere uno script maligno che innesca la cosa...oppure un file che ho scaricato dentro il pc ....video (presumo...sempre presumo)... ovviamente quando scarico un file dentro il pc prima di aprirlo gli faccio sempre una scansione preventiva...ma dobbiamo considerare che forse quel tipo di rootkit.go non si trovava ancora nel database o forse quando è latente non viene rilevato e dopo aver fatto partire il video si innescato. Questa ultima ipotesi non mi meraviglierebbe vista la capacità dei rootkit di scomparire e riapparire....spegnersi e riaccendersi...e modificarsi e plasmarsi dentro file di altri programmi o del sistema operativo.

Ciao e grazie per il tuo intervento...io continuo a comunicarvi comunque buone notizie...cioè il mio pc continua ad essere perfetto...sembra che questa volta sia stato debellato in modo definitivo.

Ciauz

infatti e un firewall hardware in questo caso che hai appena vissuto sarebbe stato inefficace.
a volte quando si parla di firewall hardware si da per scontato che le minacce provengano direttamente dall'esterno, ma è appunto su questa base che sono nati i "trojan" ;)
quindi ogni esperto internazione in fatto di sicurezza informatica ti direbbe che un firewall hardware non impedisce ad un infezione di propagarsi all'interno della lan , a maggior ragione la sua impotenza a difendere l'hd e il sitsema operativo dall'esecuzione di un malware che per l'antivirus e l'antispyware è ancora ignoto!

ps: è il tuo caso :D


sul fatto che un firewall hardware sia più efficace per attacchi diretti dall'esterno ti do assolutamente ragione, ed è per questo che dico che semmai è un valido alleato ma non sostituto di uno software.


cmq io non ho tabù a dire la mia configurazione di sicurezza, e te ne posto due visto che ho due pc:
workstation
win2003server
nod32
spyware terminator
a-squared-antimalware
prevx 2.0
outpost-pro
antiroot kit della sophos
router us-robotics

notebook:
winXp-home
avira suite
a-squared-antimalware
prevx 2.0

non capisco la diffidenza a dirlo.. pensa che quanto ho scritto lo ho scritto altre 200 volte :D

infatti e un firewall hardware in questo caso che hai appena vissuto sarebbe stato inefficace.
a volte quando si parla di firewall hardware si da per scontato che le minacce provengano direttamente dall'esterno, ma è appunto su questa base che sono nati i "trojan" ;)
quindi ogni esperto internazione in fatto di sicurezza informatica ti direbbe che un firewall hardware non impedisce ad un infezione di propagarsi all'interno della lan , a maggior ragione la sua impotenza a difendere l'hd e il sitsema operativo dall'esecuzione di un malware che per l'antivirus e l'antispyware è ancora ignoto!

ps: è il tuo caso :D


sul fatto che un firewall hardware sia più efficace per attacchi diretti dall'esterno ti do assolutamente ragione, ed è per questo che dico che semmai è un valido alleato ma non sostituto di uno software.


cmq io non ho tabù a dire la mia configurazione di sicurezza, e te ne posto due visto che ho due pc:
workstation
win2003server
nod32
spyware terminator
a-squared-antimalware
prevx 2.0
outpost-pro
antiroot kit della sophos
router us-robotics

notebook:
winXp-home
avira suite
a-squared-antimalware
prevx 2.0

non capisco la diffidenza a dirlo.. pensa che quanto ho scritto lo ho scritto altre 200 volte :D

Quindi tu mi stai in sintesi dicendo che avendo per esempio outpost oppure un altro firewall software se l'antivirus è inefficace e l'antitrojan è inefficace alla fine il comportamento maligno (parliamo di diffusione dell'infezione dentro il pc) viene bloccato dal firewall software. Ne prendo nota e ti ringrazio per avermi informato. Avrei qualche dubbio...ma con la massima umiltà mi riservo di verificare se ho fatto un errore di valutazione ignorando una cosa così importante. Per adesso ho cambiato il mio amatissimo a2, mi chiedo dove era la sua protezione di prevenzione nel momento in cui sono stato infettato...forse era già andata in vacanza?....e ho messo Counterspy che mi sta dando belle soddisfazioni. Mi riservo di decidere presto una protezione molto più sicura in real time e quindi di immunizzazione del sistema vista le minacce che stanno girando.

Grazie amico. ;)

se intacca qualche servizio avresti la notifica... se cerca di killare il firewall avresti notifica.. se inietta codice in una dll avresti la notifica
a-squared se non ha l'infezione nell'inciclopedia non poteva saperlo e non aveva colpe inquanto hai confermato che la tua difesa non era ad alti livelli..

se intacca qualche servizio avresti la notifica... se cerca di killare il firewall avresti notifica.. se inietta codice in una dll avresti la notifica
a-squared se non ha l'infezione nell'inciclopedia non poteva saperlo e non aveva colpe inquanto hai confermato che la tua difesa non era ad alti livelli..

Si certo però a-squared tu sai meglio di me che segnala (se attivato) ogni tentativo di modifica del sistema chiedendo se deve autorizzare la modifica oppure no e questo indipendentemente dal fatto che sia un trojan un programma o che sia presente nel suo database. ;)

Si certo però a-squared tu sai meglio di me che segnala (se attivato) ogni tentativo di modifica del sistema chiedendo se deve autorizzare la modifica oppure no e questo indipendentemente dal fatto che sia un trojan un programma o che sia presente nel suo database. ;)

solo in alcuni casi... non è un firewall e non è un hips ;)

solo in alcuni casi... non è un firewall e non è un hips ;)

diciamo che implementa una sorta di pdm

diciamo che implementa una sorta di pdm

Come Kav 6...sembra che prossimamente implementeranno anche l'Hips.
Comunque discorso chiaro ragazzi, possiamo dire che visto che ormai siamo già nella nuova era dove i programmi con servizio Pdm non servono più e dove gli antivirus sono lenti a tenere il passo con chi crea rootkit e altro...possiamo dire che questo post si può concludere con un consiglio per tutti. Basta pensare che firewall+antivirus+anti-malware (che non sia Hips) non basta più.

A questo punto forse si potrebbe dire che la configurazione più semplice e freeware per aumentare la protezione potrebbe essere Kav 6 - ArovaxShield+ System Safety Monitor. Per i meno esperti che non riescono a rispondere ai vari messaggi dei programmi di difesa HIPS in modo giusto, l'ideale invece sarebbe: DEFENSEWALL un Hips autonomo che non chiede all'utilizzatore del pc competenze specifiche.

Credo che più o meno siamo daccordo ...cmq...è stato un post interessante..
GRAZIE A TUTTI.

è stato un thread interessante, il post è il singolo messaggio di una discussione ;)