Leggendo sul Forum (l'ultima segnalazione in ordine di tempo, se non erro, riguardava Deneb) nei giorni passati avevo notato il fatto che, durante le scasioni che di norma facciamo eseguire agli utenti indetti, PrevX CSI rileva SWREG.EXE come infetto.
Questa sera, all'improvviso :mbe: mi è accaduta la stessa cosa, con PrevX 2.0

http://img230.imageshack.us/img230/3779/swregscrenshotxr6.png

Ho segnalato la questione a Marco (inviandogli, anche, l'exe in questione).
In attesa di ricevere, da Marco, maggiori info maggiori rispetto a quelle ricavate facendo analizzare l'exe su VirusTotal (http://www.virustotal.com/it/analisis/f6eab753b2532969652a7aeebfc0a006), per ora, ho bloccato, in Jail, il file in questione.
Qualche idea in proposito, nel frattempo?.

Leggendo sul Forum (l'ultima segnalazione in ordine di tempo, se non erro, riguardava Deneb) nei giorni passati avevo notato il fatto che, durante le scasioni che di norma facciamo eseguire agli utenti indetti, PrevX CSI rileva SWREG.EXE come infetto.
Questa sera, all'improvviso :mbe: mi è accaduta la stessa cosa, con PrevX 2.0

http://img230.imageshack.us/img230/3779/swregscrenshotxr6.png

Ho segnalato la questione a Marco (inviandogli, anche, l'exe in questione).
In attesa di ricevere, da Marco, maggiori info maggiori rispetto a quelle ricavate facendo analizzare l'exe su VirusTotal (http://www.virustotal.com/it/analisis/f6eab753b2532969652a7aeebfc0a006), per ora, ho bloccato, in Jail, il file in questione.
Qualche idea in proposito, nel frattempo?.
strano sto' dando una controllata ti faro' sapere

rieccomi,:D
combofix o sistemscan nella migliore delle ipotesi:cool:
vundo nella peggiore:rolleyes:
brutta la posizione del file:read:

Anch'io ho notato oggi che prevxcsi lo segnalava infetto ad un utente. Però dovrebbe essere il tool integrato in combofix o fixwareout o altri tool che ne fanno uso.

http://www.xs4all.nl/~fstaal01/swreg-us.html

sembrerebbe proprio un trojan :mbe:

Anch'io ho notato oggi che prevxcsi lo segnalava infetto ad un utente. Però dovrebbe essere il tool integrato in combofix o fixwareout o altri tool che ne fanno uso.

http://www.xs4all.nl/~fstaal01/swreg-us.html

confermo e confermo quanto detto da riverside:

nn è la prima volta che capita, è già da un bel po di tempo che l'ho notato, e tutte le volte veniva individuato dopo l'utilizzo di combofix...

quelle volte che l'abbiamo fatto analizzare su virus total, ha dato risultati simili al tuo

x la precisione, fino all'ultima volta che è capitato (a mio ricordo) panda ancora nn lo rilevava....

aspettiamo news da Marco :)

ho appena controllato, e la cosa è veramente strana, ha il sapore di un falso

a meno di una nuova supermega infezione che non fa nulla ai pc :D

(intanto ho appena controllato e me lo rileva sui pc dove mi pare di aver usato combofix su tutti).

inoltre, rimandando al mio thread, dopo averlo provato ad eliminare con avenger (con successo) ad un sucessivo (terzo o piu) riavvio è nuovamente comparso. ricordo infatti benissimo che dopo averlo cancellato con avenger prevxcsi non lo rivelava. ad un sucessivo riavvio si.

edit: ora che ci penso dopo averlo eliminato avevo fatto un altro giro con combofix ed è ritornato. ho trovato anche il file gmer.exe nella cartella system32 o.O

…… vundo nella peggiore
Puoi continuare, in eterno, ad esercitare le tue ridicole speranze che, il mio P.C., chissà per quale misteriosa ragione, possa essere infetto: la percentuale di possibilità, credimi, è meno di zero.
Anch'io ho notato oggi che prevxcsi lo segnalava infetto ad un utente. Però dovrebbe essere il tool integrato in combofix .....
Infatti Nuz: ora, in considerazione del fatto che il tool in questione lo ho rimosso (ma ammettiamo, pure, che non fosse stato rimosso), nei due casi specifici, ovvero:
1) il mio, che ComboFix, lo ho rimosso (eppure PrevX mi rileva quel file come infetto);
2) quello dell'utente a cui facciamo installare il tool e da una scansione successiva eseguita con PrevX CSI.
Quindi, una volta che viene rilevato swreg.exe come infetto, come ci comportiamo?

Io per ora tenderei a considerarlo un falso positivo. Ho visto che dalla scansione su virustotal solo 3/32 lo rilevano come sospetto, mi sembra poco.

Intanto faccio qualche prova sulla VM.:)

Edit: forse il problema sta nel fatto che il 28/01/2008 è stata rilasciata l'ultima versione:

Updates:
28 january 2008 v 3.0.0.0:

* New: LINK and NULL functionality
* Changed the Administrator check on Vista to include SYSTEM in case this program is run in the SYSTEM context
* Changed a crash with username retrieval when the program runs as the user SYSTEM

....... ho trovato anche il file gmer.exe nella cartella system32
Il fatto è che, da quel che sto vedendo, questi tool lasciano tracce ovunque: prendiamo ad esempio, GMER:

http://img513.imageshack.us/img513/1794/gmermn4.png

E non è ancora finita: ne ho trovato un altro davvero carino (prima controllo e poi, nel caso allego).

ho fatto girare combofix, e puntualmente csi me l'ha rilevato......

[edit]

x favore GOLDRAKES : nn c'è bisogno che quoti l'intervento precedente ;)

allunghi solo il topic

Il fatto è che, da quel che sto vedendo, questi tool lasciano tracce ovunque: prendiamo ad esempio, GMER:

E non è ancora finita: ne ho trovato un altro davvero carino (prima controllo e poi, nel caso allego).

stesso risultato, ma credo che questi file di gmer li lasci sempre combofix.
ora prova a lanciare gmer su un pc pulito. e faccio una ricerca

@ murack si me ne sono accorto ;)

sono tools gratuiti è normale che lasciano tracce
Per favore togli almeno il link alle immagini, all'interno del quote.
Poi non vedo a cosa serva quotare interventi che mi sembrano già esaustivi di loro.
Io per ora tenderei a considerarlo un falso positivo. Ho visto che dalla scansione su virustotal solo 3/32 lo rilevano come sospetto, mi sembra poco.
Per ora continuo a tenerlo bloccato in jail (anche se il continuo lampeggiare dell'avviso rosso, è davvero fastidisioso).

stesso risultato, ma credo che questi file di gmer li lasci sempre combofix.
ora prova a lanciare gmer su un pc pulito. e faccio una ricerca

i file indicati da riverside sono quelli d gmer

infatti x disisntallare gmer, devi avviare gmer_uninstall

x la precisione, in realtà, anche dopo la procedura di disinstallazione di gmer, rimane una dll in windows e nn so perchè....

quelle volte che ho disinstallato gmer, ho poi eliminato manulmente la dll orfana in c:\windows se mi ricordo bene

i file indicati da riverside sono quelli d gmer

infatti x disisntallare gmer, devi avviare gmer_uninstall

x la precisione, in realtà, anche dopo la procedura di disinstallazione di gmer, rimane una dll in windows e nn so perchè....

quelle volte che ho disinstallato gmer, ho poi eliminato manulmente la dll orfana in c:\windows se mi ricordo bene

allora ok :D
avevo letto nel report di combofix che fa una scansione rootkit usando il motore di gmer, quindi pensavo fosse sempre lui a mettere quei file :D

Per ora continuo a tenerlo bloccato in jail (anche se il continuo lampeggiare dell'avviso rosso, è davvero fastidisioso).

Ho fatto delle prove sulla VM e solo la versione contenuta in combofix da problemi. Mentre quella "originale" no.
Puoi provare tu stesso sostituendo il file sospetto con quello contenuto sul sito dell'autore:

http://www.xs4all.nl/~fstaal01/downloads/swreg.exe

Domandina semplice semplice: qualcuno di voi si ritrova con una cartella chiamata QooBox, in C: ?

Edit: come non detto: Qoobox è la quarantena di Combofix.

Domandina semplice semplice: qualcuno di voi si ritrova con una cartella chiamata QooBox, in C: ?

si in quella cartella ci sono i backup di combofix

Si me l'ha creata combofix.

si in quella cartella ci sono i backup di combofix

confermo

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:

start->esegui: combofix /u

N.B. verranno reimpostate le impostazioni dell'orologio, reimpostate le opzioni di visualizzazione delle estensioni e di cartelle e file nascosti, e riattivato il Ripristino configurazione di sistema.

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:

start->esegui: combofix /u

Esatto, comunque in questo caso si tratta di Combofix

Ho fatto delle prove sulla VM e solo la versione contenuta in combofix da problemi. Mentre quella "originale" no.
Puoi provare tu stesso sostituendo il file sospetto con quello contenuto sul sito dell'autore:
http://www.xs4all.nl/~fstaal01/downloads/swreg.exe
Mi hai letto nel pensiero Nuz, stavo giusto per provare quella soluzione.
Unica accortezza che prendo, è rinominare in old l'attuale file, e vediamo.

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:
start->esegui: combofix /u
Già fatto Nuz, ma la segnalazione è importante: stavo pensando che questa discussione potrebbe tornare utile in futuro, per queli utenti che volessero disinstallare, in maniera corretta, i tool.

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:

start->esegui: combofix /u

Combofix è stato disinstallato! (e mi ha pure freezato il pc per 5 secondi :D )

emh.. dopo averlo usato è comparso un file kmd in C: e mi ha disattivato la visualizzazione dei file nascosti e riattivato il ripristino di sistema

Già fatto Nuz, ma la segnalazione è importante: stavo pensando che questa discussione potrebbe tornare utile in futuro, per queli utenti che volessero disinstallare, in maniera corretta, i tool.

In effetti il mio scopo era quello. Ormai ti conosco bene per sapere che certe cose non devo essere certo io a dirtele. :)

In effetti il mio scopo era quello. Ormai ti conosco bene per sapere che certe cose non devo essere certo io a dirtele. :)

e vissero felici e contenti............:D :asd:

ovviamente si scherza ;)

In effetti il mio scopo era quello. Ormai ti conosco bene per sapere che certe cose non devo essere certo io a dirtele. :)
Ok socio, vediamo se il giochino risolve la questione:

http://img171.imageshack.us/img171/9578/86174244vs4.png

http://img171.imageshack.us/img171/9763/92698939xp2.png

In effetti te lo segnala perchè disinstallando combofix anche le estensioni tornano ad essere nascoste e quindi il file è diventato swreg.old.exe invece che swreg.exe.old o swreg.old.

segnalo che dopo aver eseguito il comando di uninstall di combofix, anche il file swreg.exe è stato tolto

In effetti te lo segnala perchè disinstallando combofix anche le estensioni tornano ad essere nascoste
Problema risolto ;)

● rinominato il file swreg.exe rilevato infetto in old
● copiato in system32 il file swreg.exe originale (vedi il link che hai pubblicato)
● falciato swreg.exe rinominato old con PrevX 2.0
● riavviato il sitema
● PrevX 2.0 ha concluso la successiva fase di rimozione

ed ecco il risultato:

http://img230.imageshack.us/img230/7672/49136209wk6.png

http://img171.imageshack.us/img171/3434/67237021wy1.png

Naturalmente, chi non possiede PrevX licenziato, può eseguire, manualmente, la rimozione del file infetto sostituendolo, poi, con il file originale.

Ciao ragazzi..anche a me aveva incurisito sta cosa del swreg ...non vorrei errare ma forse è un modulo common di compatibilità windows sò solo che me lo sò ritrovato davanti in un log dove non era stato usato combo...ma non ricordi di quale tool che aveva svelato l'arcano......faccio na ricerchina e vedo....

Naturalmente, chi non possiede PrevX licenziato, può eseguire, manualmente, la rimozione del file infetto sostituendolo, poi, con il file originale.

non ho capito, hai rinominato il file swreg.exe e subito Prevx lo ha identificato. Poi hai scaricato il file swreg.exe da quell'indirizzo e lo hai messo in system32, falciato quello vecchio.

Quindi in pratica ci stai dicendo che il tool Combofix dopo essere messo in funzione, mette un malware in system32? :confused:

leggi il mio post precedente.

Ciao ragazzi..anche a me aveva incurisito sta cosa del swreg ...
Ciao Nà, ti stavamo aspettando ;) e visto che ci stavamo annoiando, nell'attesa abbiamo messo in piedi questa piccola discussione :cool:

non ho capito, hai rinominato il file swreg.exe e subito Prevx lo ha identificato. Poi hai scaricato il file swreg.exe da quell'indirizzo e lo hai messo in system32, falciato quello vecchio
Esatto Deneb, ho rinominato il file considerato infetto ed ho copiato il file originale nella cartella system32 ...... tutto il resto è spiegato sopra.
Quindi in pratica ci stai dicendo che il tool Combofix dopo essere messo in funzione, mette un malware in system32?
Non ho detto questo: ma è evidente che apporta una modifica al file originale e PrevX lo rileva come infetto.
In ogni caso, il file rilevato come infetto, lo avevo inviato, nel tardo pomeriggio, ad Eraser: vediamo cosa ci dice lui in merito.

ma se dopo la disinstallazione, il relativo swreg.exe è stato rimosso dal sistema, significa che prima non era presente o sbaglio??

ho provato sia con prevxCSI sia con un cerca e non ho trovato nulla (dopo aver disinstallato combofix)

come non detto...anzi ho detto na cazzata...il file che avevo visto in uno start up list ...non era quello:doh: ...vabbè.....:stordita:

non era stato usato combo...ma non ricordi di quale tool

anche SystemScan ;)

ma se dopo la disinstallazione, il relativo swreg.exe è stato rimosso dal sistema, significa che prima non era presente o sbaglio??
Sbagli Den: swreg.exe e' un componente di editing del Registro che serve per apportare modifiche al registro di Windows qualora l'impiego dell'editor del registro incorporato in Windows XP sia stato bloccato dalle policy di restrizione (e qui il discorso si allarga al Ripristino dei permessi utente riportandoli allo stato originale).
Quindi, quell'exe, è un file legittimo di sistema e deve essere presente in system32.

si ma se è un file che DEVE essere in system32, perchè combofix me lo ha cancellato? :help:

In effetti te lo segnala perchè disinstallando combofix anche le estensioni tornano ad essere nascoste e quindi il file è diventato swreg.old.exe invece che swreg.exe.old o swreg.old.

Come non detto la spiegazione che mi ero dato non era per niente corretta. :doh:

Ho fatto un'altra verifica. Quella relativa al checksum e in effetti i file non sono identici fino all'ultimo dettaglio come dovrebbero.

http://img206.imageshack.us/img206/5105/swregbq4.th.jpg (http://img206.imageshack.us/my.php?image=swregbq4.jpg)

Il primo e l'ultimo sono quelli "originali" scaricati (in momenti diversi) dalla pagina di SteelWerx, mentre quello in mezzo è quello creato da Combofix.

In ogni caso, il file rilevato come infetto, lo avevo inviato, nel tardo pomeriggio, ad Eraser: vediamo cosa ci dice lui in merito.

Ragazzi, abbiate pietà :D Sono uno, solo oggi avrò ricevuto almeno 15 richieste d'assistenza :D

Con calma rispondo a tutti ;) :)

si ma se è un file che DEVE essere in system32, perchè combofix me lo ha cancellato? :help:

ma chi l'ha detto

Ragazzi, abbiate pietà :D Sono uno, solo oggi avrò ricevuto almeno 15 richieste d'assistenza :D

Con calma rispondo a tutti ;) :)

ricordati del mio dmmbe.exe :D

ma chi l'ha detto

chi l'ha detto cosa?

ricordati del mio dmmbe.exe :D



chi l'ha detto cosa?

questo:
"si ma se è un file che DEVE essere in system32"

Riverside appena più sopra :stordita:

qui: http://www.hwupgrade.it/forum/showpost.php?p=21154870&postcount=41

neanche io ho swreg.exe, e leggendo in internet ho visto che questo programma è un editor x il registro di windows, come diceva riverside, xò nn è vero che deve esserci x forza, mi sembra di aver capito che è una sorta di tool....no?

neanche io ho swreg.exe, e leggendo in internet ho visto che questo programma è un editor x il registro di windows, come diceva riverside, xò nn è vero che deve esserci x forza, mi sembra di aver capito che è una sorta di tool....no?

Esatto e se tieni in cosiderazione che analizzandolo su VirusTotal solo 3 Av rilevano la possibile infezione tra cui Panda che tra l'altro e l'unico dei 3 che consente di fare la scansione online con Nano/Total scan quindi dovremmo avere molti più riscontri di quanti in realtà ne abbiamo.

* senza considerare Prevx

quindi in conclusione: combofix crea questo file? e perchè?

ricordati del mio dmmbe.exe
Den :mbe: ma stai ancora battagliando con la questione dmmbe.exe??
Prova a killare il relativo processo ed a rimuovere dmmbe.exe dall'avvio di Windows.

Den :mbe: ma stai ancora battaglianfo con la questione dmmbe.exe??
Prova a killare il relativo processo ed a rimuovere dmmbe.exe dall'avvio di Windows.

il fatto è che non c'è nessun processo e nessuna chiave che lo chiama all'avvio, è solo prevxcsi che lo rileva ma nn si sa dove :D

@Murack
forse per eliminare alcune chiavi di registro con appunto un editor di registro che avedo un checksum diverso dal solito (vedi post di Nuz) non viene identificato dal trojan/virus e si lascia cancellare

il fatto è che non c'è nessun processo e nessuna chiave che lo chiama all'avvio, è solo prevxcsi che lo rileva ma nn si sa dove :D

@Murack
forse per eliminare alcune chiavi di registro con appunto un editor di registro che avedo un checksum diverso dal solito (vedi post di Nuz) non viene identificato dal trojan/virus e si lascia cancellare

Nel thread ti avevo chiesto se potevi ricontrollare ma non ho avuto risposta
http://www.hwupgrade.it/forum/showpost.php?p=21122859&postcount=37
mi riferivo al Registro

neanche io ho swreg.exe ......
Preso dalla curiosità ho appena controllato se è presente anche sul notebook (tenete conto che è pulito, non ho mai usato tool tipo Combofix, ecc.), lo utilizzo, esclusivamente, per ragioni di lavoro, le uniche cose che faccio quando vado in rete, è leggere e gestire la posta e qualche conferenza con Skype): swreg.exe è presente (sistema operativo in uso su entrambe le macchine: Windows XP Professional).
Misteri di Windows?? :mbe:

Nel thread ti avevo chiesto se potevi ricontrollare ma non ho avuto risposta
http://www.hwupgrade.it/forum/showpost.php?p=21122859&postcount=37
mi riferivo al Registro

scusa nn avevo capito, pensavo al nome del file rilevato da prevx
ora controllo :D ma non mi pare di aver visto nessun file sospetto

(sistema operativo in uso su entrambe le macchine: Windows XP Professional).
Misteri di Windows??


io ho XP Home :D, ora controllo in un altro pc
edit: no niente swreg.exe

SteelWerX programmed a version of REG.EXE known as SWReg (SteelWerX Reg). But even using SWReg on Windows XP might prove handy, since it also implements a few goodies that are not available with the original. So read about the possibilities of SWReg. If something is not possible with the original Microsoft program it is noted in bold.

SWReg is a complete copy of REG.EXE, so it supports the same options With SWReg you can IMPORT and EXPORT script-files, SAVE and RESTORE hive-files. QUERY the contents of keys or values. LOAD and UNLOAD hives, COPY and COMPARE keys. And DELETE keys or values. Additionaly, you can also MOVE (or rename) Registry keys and manipulate the Access Control Lists (ACL) of Registry keys, and much more...

http://www.xs4all.nl/~fstaal01/swreg-us.html

swreg.exe non è un programma microsoft, basta fare un controllo delle proprietà del file.

domani controllerò pure io in un altro pc....

edit: quindi nn è un programma di windows...giusto nuz?

@nuz
si lo avevo gia letto tutto nel tuo post n.4:D per quello insistevo :D

Filename: swreg.exe
Directory: C:\WINDOWS\system32\

Company Name:
File Version:
File Description: Product Name:
Size (in bytes): 42,496 File Date: 10/30/2005 9:49:02 PM
File Function: File Type: Application
Original Filename: Internal Name:
Legal Copyright: Legal Trademarks:
Product Version: File Comments:
Scanned From OS Version: Microsoft Windows XP Scanned from Service Pack: Service Pack 2

e il mistero si infittisce non è un file di WIN

e il mistero si infittisce

l'unica e sola spiegazione è che vari tool utilizzino diverse versioni di questo editor di registro per apportare le modifica atte a rimuovere i malware

indi per cui, dovrebbe essere un falso positivo di prevxcsi :cincin:

l'unica e sola spiegazione è che vari tool utilizzino diverse versioni di questo editor di registro per apportare le modifica atte a rimuovere i malware

indi per cui, dovrebbe essere un falso positivo di prevxcsi :cincin:

http://www.hwupgrade.it/forum/showpost.php?p=21154828&postcount=40

tanto per citarne un'altro

ho scaricato swreg dal link di nuz e mi indica questo:

Descrizione: Freeware implementation of REG.EXE

Copyright: Copyright © Frank Staal 1999-2008

Nome prodotto: SteelWerX Registry Editor

Società: SteelWerX

Versione file: 3.0.0.0

http://www.hwupgrade.it/forum/showpost.php?p=21154828&postcount=40

tanto per citarne un'altro

ho letto un paio di discussioni su forum diversi e ho letto che anche systemscan crea questo file, che viene rilevato come virus (da panda oppure da prevx csi)

cmq, io me ne vo a letto...buona notte a tutti

Intanto, leggete anche qui (http://blogs.dotnethell.it/michelen/Reg.exe-Modificare-Regedit-da-riga-di-comando__2081.aspx)

http://img230.imageshack.us/img230/990/34983052ux2.png

http://img171.imageshack.us/img171/6562/32596589hg2.png

http://img230.imageshack.us/img230/5593/14936313mg8.png

I casi sono due: o sono io che mi ritrovo file in più o voi che ve ne ritrovate in meno :)

I casi sono due: o sono io che mi ritrovo file in più o voi che ve ne ritrovate in meno

la 1° :)

la 1° :)
Ne sei certo, socio?? ;)
Forse non tutti sanno che in Windows Xp esiste un tool chiamato reg.exe con il quale e’ possibile eseguire operazioni sul registro di sistema direttamente da riga di comando. Questa utility permette,infatti, di aggiungere, modificare esportare, visualizzare, salvare le informazioni relative alle sottochiavi del Registro di sistema e i valori delle voci del Registro di sistema e puo’ rivelarsi molto utile.
Non lo dico io che quella roba è implementata in Windows XP.
In ogni caso, rispetto al mio post iniziale, PrevX (ho appena terminato di eseguire una nuova scansione), non rileva più nulla.

Ne sei certo, socio?? ;)

Non lo dico io che quella roba è implementata in Windows XP.
In ogni caso, rispetto al mio post iniziale, PrevX (ho appena terminato di eseguire una nuova scansione), non rileva più nulla.

reg.exe è un discorso
Author:
Microsoft

Part of:
Microsoft Wnidows Operating System

Common Path(s):
%system%

swreg.exe è un altro

reg.exe è un discorso ...... swreg.exe è un altro
E fin li, mi pare ci siamo arrivati tutti.
Tra l'altro swreg.exe non si trova neppure su Process Library.
In ogni caso, dopo averlo sostituito, come ho detto prima, PrevX non lo rileva più come infetto.
Certo che la cosa è davvero curiosa.

E fin li, mi pare ci siamo arrivati tutti.
Tra l'altro swreg.exe non si trova neppure su Process Library.
In ogni caso, dopo averlo sostituito, come ho detto prima, PrevX non lo rileva più come infetto.
Certo che la cosa è davvero curiosa.

bhe forse non è poi tanto curiosa, lo hai sostituito con un file diverso (http://www.hwupgrade.it/forum/showpost.php?p=21155084&postcount=43), dunque prevx non lo rileva per forza

Quindi, quell'exe, è un file legittimo di sistema e deve essere presente in system32.

:nono:



swreg.exe non è un programma microsoft, basta fare un controllo delle proprietà del file.

:cool:

non è un file di WIN

;)



I casi sono due: o sono io che mi ritrovo file in più o voi che ve ne ritrovate in meno :)

:rolleyes:

E fin li, mi pare ci siamo arrivati tutti.
Certo che la cosa è davvero curiosa.

come no:mbe:

rieccomi,:D
combofix o sistemscan nella migliore delle ipotesi:cool:
vundo nella peggiore:rolleyes:
brutta la posizione del file:read:

post numero 3,caduto prematuramente nel dimenticatoio:(

bhe forse non è poi tanto curiosa, lo hai sostituito con un file diverso (http://www.hwupgrade.it/forum/showpost.php?p=21155084&postcount=43), dunque prevx non lo rileva per forza

proprio quando gli altri fanno qualcosa per risalire alla verità lui sovverte le carte in tavola e sopprime la questione:(
qui un esempio: http://www.hwupgrade.it/forum/showthread.php?t=1680527
:rolleyes:

riflessione personale:

evidentemente l'essermi scontrato con l'utente riverside mi ha penalizzato,mi penalizza e mi penalizzerà in ogni mio post,non venendo considerato o quotato nei vari topic,questo magari perche non "appartengo" ai cosiddetti "soci" a cui lui faceva riferimento in un altro post.Ho visto da parte da parte dell'utente riverside una sorta di manipolazione dei topic da lui aperti,nel senso che alla fine si deve arrivare per forza a cio che dice lui,quindi se uno esce fuori dai binari,lui lo rimette subito in carreggiata,perche il finale è già deciso.Mi riferisco soprattutto ai suoi quote "personalizzati"(almeno nel mio caso),cioè quota solo la parte dove lui puo intervenire uscendosene sempre pulito,oppure cambia letteralmente discorso(vedesi il file reg.exe qui oppure nell'altro topic la versione "free di ad-aware" da me mai pronunziata).Su un forum bisogna accettare anche chi suona della musica diversa dalla solita,almeno io lo spirito della community lo intendo cosi.Qui mi è sembrato che i due topic aperti da riverside siano "dedicati" a una ristretta cerchia di utenti che a volte pur di non scontrarsi con riverside non intervengono(mi riferisco alle parti finali dei topic quando lui esegue le manipolazioni).Nel terzo post di questo thread ho parlato di ipotesi,lui ha quotato solo la parte del vundo per attaccarmi,del resto(combofix e sistemscan)non gliene è fregato nulla,anche se poi se ne è parlato diffusamente di quei due tool.Ho visto della gente molto preparata in questa sezione,complimenti,mi dispiace solo che io non possa farne parte visto il mio esordio.Ho deciso di non postare piu almeno per un po nella sezione infetti,ma continuerò a seguirvi per poter apprendere qualcosa di interessante.Buon lavoro a tutti ragazzi;)

Nel terzo post di questo thread ho parlato di ipotesi,lui ha quotato solo la parte del vundo per attaccarmi,del resto(combofix e sistemscan)non gliene è fregato nulla,anche se poi se ne è parlato diffusamente di quei due tool.

a proposito di riflessioni personali:
il fatto è che se tu ti fermavi alla sola considerazione su combofix, quindi tralasciando l'eventualità che il pc di Riserside potesse essere infetto da malware, sicuramente Riserside non la avrebbe presa come un "ti punto il dito contro" simile al thread precedente :D

che poi non vedo il motivo di tanta voglia di cercare un appiglio per scoprire un infezione nel suo pc, solo perchè lui aiuta tutti :confused: e forse intaccarne la sua veridicità? dubito che possa mai succedere :D

pace :stordita: :D

bhe forse non è poi tanto curiosa, lo hai sostituito con un file diverso
Den, lo ho sostituito, come suggerito da Nuz, con il file originale; è quello che viene installato da Combofix che è diverso e viene rilevato, da PrevX, come infetto.
Tra l'altro, se non ho inteso male, anche qui, Nuz aveva già fatto una ulteriore precisazione :guarda lo screenshot pubblicato nel suo post (http://www.hwupgrade.it/forum/showpost.php?p=21155084&postcount=43)
Ora sono in ufficio: anche qui ho un P.C. con XP Professional e, anche su questo P.C., mi ritrovo swreg.exe in system32.
A questo punto mi viene da pensare che quel file possa essere generato da qualche software che utilizzo su tutte e tre le macchine.
Il fatto è che, a parte il Sistema Operativo (XP Pro su tutte e tre le macchine), Nod32, Office 2003, Skype e GMail Notifier, il resto dei programmi che utilizzo su ogni singolo P.C., varia da macchina a macchina.
Tieni, inoltre conto che, sia sul Notebook che sul P.C. dell’ufficio, non ho mai installato Combofix e mai provato i tool di rimozione che di norma utilizziamo.
Ora (facciamo conto che il problema sia mio, quindi lo risolverò da me, nel caso) torniamo a valutare la questione per la parte utente sul Forum (che era la ragione principale per cui ho aperto la discussione).
Tu hai sottolineato che disinstallando Combofix, viene rimosso anche quell’exe.
Presumo tu abbia eseguito un ulteriore verifica dopo la disinstallazione eseguendo una nuova scansione con PrevX CSI e che dall’esame del log generato, l’exe ritenuto infetto non venga più rilevato.
Mi confermi questo?.
Se fosse così, sembrerebbe (in attesa di ricevere qualche notizia in più da parte Eraser) che si tratti di rilevazione di un falso positivo; a quel punto, se dai log pubblicati si evidenziasse, potremmo, tranquillamente, non prenderlo in considerazione.
Ciò che resta inspiegabile (anche se, tornando allo screen pubblicato da Nuz, i due exe sono, certamente, diversi) è:
1) la ragione per la quale, PrevX (sia CSI che 2.0) rileva quell’exe (derivante dalla installazione di Combofix), come infetto mentre (vedi il mio caso), se l’exe viene sostituito con quello originale (come ho fatto io), non lo rileva più.
2) la ragione per la quale, comunque, swreg.exe, io me lo ritrovi regolarmente installato su tutti e tre i P.C. che utilizzo.

*

Off Topic: Ero indeciso sul risponderti o meno, ma visto che mi tiri per la manica:

evidentemente l'essermi scontrato con l'utente riverside mi ha penalizzato,mi penalizza e mi penalizzerà in ogni mio post non venendo considerato o quotato nei vari topic,questo magari perche non "appartengo" ai cosiddetti "soci" a cui lui faceva riferimento in un altro post.
Siamo (i Soci) la casta di HU, non lo sapevi? :cool:
Ho visto da parte da parte dell'utente riverside una sorta di manipolazione dei topic da lui aperti
Credo tu soffra di allucinazioni: addirittura sarei un manipolatore? :mbe:

Di norma non apro post (intervengo in quelli che aprono altri, quasi esclusivamente in questa sottosezione) e quando lo faccio, parto, sempre da un presupposto specifico: allargare la discussione su un tema che può interessare gli utenti della unica sottosezione che frequento sul forum); ed è quello che è accaduto, anche, nel corso di questa discussione, che ho aperto successivamente al fatto che, ieri, improvvisamente e senza alcuna ragione specifica, PrevX 2.0, mi ha rilevato, come infetto, swreg.exe, e mi sono accorto che era lo stesso exe indicato in diversi log allegati dagli utenti ai quali facciamo eseguire scansioni con PrevX CSI (Deneb, per esempio, era uno di questi).
Tieni, inoltre conto che avevo precisato, di aver disinstallato Combofix, quindi, seguendo il ragionamento fatto da Deneb in suo post, l’exe in questione, teoricamente, non avrebbe dovuto essere più presente sul mio P.C. -.
Per il resto, come in ogni discussione, anche in questa, i pareri posso essere discordanti e diversi.
Ho visto della gente molto preparata in questa sezione,complimenti, mi dispiace solo che io non possa farne parte visto il mio esordio.
Peccato, nessuno (neppure il Manipolatore :) ), qui dentro, ha intenzione di isolarti o non farti partecipare: quindi, il problema, se tale fosse, è solo tuo.

Off Topic chiuso: La prossima volta, se ritieni di aver qualcosa da chiarire con me, sei vivamente invitato a fare uso del PM

Ho fatto altre prove e il tool swreg viene utilizzato anche da MSNfix, SmitfraudFix, e Fixwareout (oltre che da combofix e systemscan).
Nessuno di questi tre lascia swreg.exe nella cartella system32 dopo l'uso.

Ho fatto altre prove e il tool swreg viene utilizzato anche da MSNfix, SmitfraudFix, e Fixwareout (oltre che da combofix e systemscan).
Nessuno di questi tre lascia swreg.exe nella cartella system32 dopo l'uso.
Almeno Nuz, ad un paio di conclusioni siamo giunti:
1) PrevX CSI (almeno fino a quando, Eraser, una volta stabilito che l'exe non è infetto, faccia in maniera che PrevX non lo rilevi più come tale) va fatto eseguire prima di far installare e far girare eventuali tool di rimozione ;
2) sarebbe, poi, utile, a questo punto, creare un apposito post, come Guida alla corretta disinstallazione dei diversi tool.

Una cosa ancora, Nuz: visto che anche MSNFix pare utilizzi swreg.exe, puoi, per favore, controllare se viene utilizzato, pure, da LiveKill Clean Messenger (il tool lo trovi nella Guida di rimozione virus da MSN Messenger)?

@MURACK
Ricordi msnfix?

ma alla fine di tutta questa discussione siamo giunti alla conclusione che swreg.exe è?

@MURACK
Ricordi msnfix?

si confermo
anche msnfix usa swreg.exe

@MURACK .... Ricordi msnfix?
:mbe: che ha MSNFix che non va?
ma alla fine di tutta questa discussione siamo giunti alla conclusione che swreg.exe è?
Almeno, per ora, molto probabilmente, solo un falso positivo

EDIT: msnfix crea questo benedetto swreg.exe, ho fatto girare prevx csi e nn me l'ha rilevato come malware :)


@ goldrakes: ti riferisci a quel 3d in cui veniva rilevato il backup di msnfix come infetto? ;)

infatti: come poi ho avuto modo di controllare e come fattomi notare da riverside illo tempore, l'oggetto in questione che veniva rilevato come virus nn era msnfix in sè (come io erroneamente credevo) ma il backup creato da msnfix il quale evidentemente aveva rilevato ed eliminato qualke file infetto....

io ero infatti convinto che ciò che veniva rilevato come virus era msnfix....il che puo avvenire, vedasi ad esempio con asquared

si confermo
anche msnfix usa swreg.exe

:mbe: :p

Tu hai sottolineato che disinstallando Combofix, viene rimosso anche quell’exe.
Presumo tu abbia eseguito un ulteriore verifica dopo la disinstallazione eseguendo una nuova scansione con PrevX CSI e che dall’esame del log generato, l’exe ritenuto infetto non venga più rilevato.
Mi confermi questo?.

Confermo che su entrambe le macchine, dopo aver disinstallato combofix con il comando combofix /u, sia con PrevxCSI, che con una ricerca del file sewreg.exe, non è saltato fuori nulla.

Almeno Nuz, ad un paio di conclusioni siamo giunti:
1) PrevX CSI (almeno fino a quando, Eraser, una volta stabilito che l'exe non è infetto, faccia in maniera che PrevX non lo rilevi più come tale) va fatto eseguire prima di far installare e far girare eventuali tool di rimozione ;
2) sarebbe, poi, utile, a questo punto, creare un apposito post, come Guida alla corretta disinstallazione dei diversi tool.

Quoto

Una cosa ancora, Nuz: visto che anche MSNFix pare utilizzi swreg.exe, puoi, per favore, controllare se viene utilizzato, pure, da LiveKill Clean Messenger (il tool lo trovi nella Guida di rimozione virus da MSN Messenger)?

No, per lo meno non viene creato un eseguibile swreg.exe da LK nel sistema.

P. S. Ma il progetto LiveKill è stato abbandonato?

http://www.livekill.org/



Google Translate:

Dopo una lunga discussione tra di noi,
Abbiamo deciso di non continuare il nostro progetto e per varie ragioni.
In particolare la nostra mancanza di tempo che ci impedisce di completare i progetti in tempo.
Cordiali saluti, il team di Live-Prod.

P. S. Ma il progetto LiveKill è stato abbandonato?

Evidentemente si :( lascio, ancora per un pò il tool in Guida e, poi lo toglierò.

Senti Nuz, per quanto riguarda il raccogliere in un unico post, le modalità di rimozione dei diversi tool, visto che di norma li provi tutti, ci pensi tu?.

Ne sei certo, socio?? ;)

Non lo dico io che quella roba è implementata in Windows XP.
In ogni caso, rispetto al mio post iniziale, PrevX (ho appena terminato di eseguire una nuova scansione), non rileva più nulla.

ma bastava una semplice lettura di:
http://www.castlecops.com/t188604-Possible_rootkit_trojan_SEC_report.html

per avere la conferma che non è mai stato di Microsoft quel file come ben riportato dallo screen che hai pubblicato.
Ne su WinXP-pro e ne su WinXP-home quei file ci sono e questo a conferma che siano arrivati da programmi installati.

EDIT: msnfix crea questo benedetto swreg.exe, ho fatto girare prevx csi e nn me l'ha rilevato come malware :)

:eh: hai installato MSNFix, hai fatto girare PrevX e non ha rilevato swreg.exe come infetto? .... o Eraser, nel frattempo, ha sistemato la cosa, oppure qualcosa non quadra ..... se proviene da Combofix si ed, invece, se proviene da MSNFix, no?? :mbe:

:eh: hai installato MSNFix, hai fatto girare PrevX e non ha rilevato swreg.exe come infetto? .... o Eraser, nel frattempo, ha sistemato la cosa, oppure qualcosa non quadra :mbe:

sisi, l'ho fatto girare poco fa, dopodicchè ho fatto girare prevx csi e nn mi ha rilevato nulla

ovviamente ho controllato se swreg.exe era li, al suo posto e c'era....:rolleyes:

ora riscarico combofix e proviamo...no?

:eh: hai installato MSNFix, hai fatto girare PrevX e non ha rilevato swreg.exe come infetto? .... o Eraser, nel frattempo, ha sistemato la cosa, oppure qualcosa non quadra ..... se proviene da Combofix si ed, invece, se proviene da MSNFix, no?? :mbe:

sarà diverso il checksum ovviamente essendo due tool differenti useranno diverse versioni....

per avere la conferma che non è mai stato di Microsoft quel file come ben riportato dallo screen che hai pubblicato.
Questo, ormai, era definito.
Ne su WinXP-pro e ne su WinXP-home quei file ci sono e questo a conferma che siano arrivati da programmi installati.
Evidentemente si Deg, lo avevo già detto in un mio precedente reply.
Ma siccome me lo ritrovo su ben tre P.C. (e su due, non ho mai installato, tool di rimozione), devo capire quale, tra i software che uso su tutti e tre i P.C., lo ha installato :(
ma bastava una semplice lettura
Per lo meno, è quasi da escludere (ma anche questo già si sapeva), che sia un virus:

Ran a VT check against swreg.exe:
AhnLab-V3 2007.5.4.0 05.04.2007 no virus found
AntiVir 7.4.0.15 05.04.2007 no virus found
Authentium 4.93.8 05.03.2007 could be a corrupted executable file
Avast 4.7.997.0 05.04.2007 no virus found
AVG 7.5.0.467 05.03.2007 no virus found
BitDefender 7.2 05.04.2007 no virus found
CAT-QuickHeal 9.00 05.04.2007 no virus found
ClamAV devel-20070416 05.04.2007 no virus found
DrWeb 4.33 05.04.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3614 05.04.2007 no virus found
Ewido 4.0 05.04.2007 no virus found
FileAdvisor 1 05.04.2007 No threat detected
Fortinet 2.85.0.0 05.04.2007 suspicious
F-Prot 4.3.2.48 05.03.2007 no virus found
F-Secure 6.70.13030.0 05.04.2007 no virus found
Ikarus T3.1.1.7 05.04.2007 no virus found
Kaspersky 4.0.2.24 05.04.2007 no virus found
McAfee 5024 05.04.2007 no virus found
Microsoft 1.2503 05.04.2007 no virus found
NOD32v2 2239 05.04.2007 no virus found
Norman 5.80.02 05.04.2007 no virus found
Panda 9.0.0.4 05.04.2007 Suspicious file

Premesso che si stanno evidenziando comportamenti noti anche nel passato dove guarda caso si instaura un ruolo "capo" ad un utente mis ento nella posizione di avvertire gli utenti interessati a ritornare sui loro passi.
Non è passato molto dal caso Francizio dove il clima di "camerata" è stato duramente criticato da me avvertendo gli inetressati.
Se si ripete si fa pulizia.

Discorso breve, chiaro, trasparente e molto conciso!


E' un forum aperto a chiunque, siamo una community (quindi non una camerata) e si ascolta e si aiuta qualsiasi persona della comunità, quindi dovete accettare anche IGOR!

Evidentemente si :( lascio, ancora per un pò il tool in Guida e, poi lo toglierò.

Senti Nuz, per quanto riguarda il raccogliere in un unico post, le modalità di rimozione dei diversi tool, visto che di norma li provi tutti, ci pensi tu?.

Per la guida ci penso, magari si può fare un post che raccoglie tutti i tool gratuiti di rimozione. Ovviamente dipende dal tempo a disposizione, se lo vuole realizzare qualcun altro io cedo tranquillamente il posto. :D

:eh: hai installato MSNFix, hai fatto girare PrevX e non ha rilevato swreg.exe come infetto? .... o Eraser, nel frattempo, ha sistemato la cosa, oppure qualcosa non quadra ..... se proviene da Combofix si ed, invece, se proviene da MSNFix, no?? :mbe:

Quello contenuto in MSNFix è la versione 2. E poi c'è il discorso del checksum, come ha ricordato xcdegasp.

Quello contenuto in MSNFix è la versione 2. E poi c'è il discorso del checksum, come ha ricordato xcdegasp.
Bene, direi che siamo giunti alla conclusione che solo quello di ComboFix e, forse quello di SysClean, vengono riconosciuti come infetti.
Ora aspettiamo notizie da Eraser.
Suggerisco, almeno fino a quando la questione non verrà risolta (da Eraser) di far girare prima PrevX CSI e, solo dopo, ComboFix e SysClean (almeno non ci ritroviamo l'exe nei log).
Per la Guida, Nuz, io sarei propenso a raccogliere tutte le informazioni relative alla disinstallazione dei tool, in un unico post, da pubblicare qui.
Poi, Deg, stabilirà la collocazione più corretta (spostando il post una volta completato) nell'ambito del forum.
A meno che non si voglia aprire una nuova, apposita discussione (sentiamo cosa dice Deg in proposito).

ora riscarico combofix e proviamo...no?

si, combofix crea swreg.exe che viene puntualmente rilevato come infetto da prevx csi

ho notato che combofix crea anche un programma di backup, erunt, la cui cartella si posiziona in c:\windows, e che ho scoperto in giro in internet essere proprio un tool x creare backup (infatti ho notato che la cartella pesava circa 170 mb)

la corretta procedura di rimozione è quella indicato da nuz, cioè start->esegui->combofix /u

xchè solo cosi si cancellano tutti gli exe creati da combofix, ed è necessario riavviare il pc

EDIT: msnfix crea questo benedetto swreg.exe, ho fatto girare prevx csi e nn me l'ha rilevato come malware :)


@ goldrakes: ti riferisci a quel 3d in cui veniva rilevato il backup di msnfix come infetto? ;)

infatti: come poi ho avuto modo di controllare e come fattomi notare da riverside illo tempore, l'oggetto in questione che veniva rilevato come virus nn era msnfix in sè (come io erroneamente credevo) ma il backup creato da msnfix il quale evidentemente aveva rilevato ed eliminato qualke file infetto....

io ero infatti convinto che ciò che veniva rilevato come virus era msnfix....il che puo avvenire, vedasi ad esempio con asquared

sis proprio lui ho detto cio' perchè a quanto pare non tutti i tool di rimozione sono puliti , come avevo affermato in passato :p

a questo punto è giusto, quando si indica l'uso di combofix, indicare anche la corretta procedura per rimuoverlo :)

ho riscaricato msnfix a quanto pare è stato modificato cioè' è stato ripulito :) dal file incriminato che era se nn sbaglio msnchk.exe bene bene adesso facendo una scansione tutto pulito quindi il mio intervento in passato e mi rivolgo a murack è servito ;) ottimo :)

E' un forum aperto a chiunque, siamo una community (quindi non una camerata) e si ascolta e si aiuta qualsiasi persona della comunità, quindi dovete accettare anche IGOR!
Scusa Deg, ma non mi pare che nessuno sia stato escluso.
Non confondiamo il clima di goliardia con il quale, a volte, tra di noi, affrontiamo il Forum con il cameratismo, sono due cose ben diverse e, in qualche modo, agli inizi, ci siamo passati tutti: ci sono passato io, ci sono passati Nuz, Murack, Deneb, Francizio ed altri ancora.
Ognuno di noi affronta le questioni, si inserisce in un contesto o in un ambiente e si rapporta con le persone, in maniera diversa: Igor, presumo, avrà il suo modo (giusto o sbagliato che sia, non è importante).
Non siamo una Casta e, soprattutto, non ci sono Capi (può darsi che qualcuno abbia un suo punto di riferimento, ma questo è un discorso diverso): siamo, più semplicemente, un gruppo di persone che si conosce da diverso tempo, ha consolidato i rapporti, ed interagisce in piena concordanza.
Che io ricordi, nessuno, sulla scorta di chissà quale tacito accordo tra utenti più "anziani" (non sapevo che termine utilizzare), è mai stato tagliato fuori.
Se Igor ritiene di avere un problema con me (personalmente, di certo, non ne ho con lui, non ne avrei motivo) ha solo da contattarmi in PM, mi sembra la cosa più semplice da fare.
E,considerato che già siamo in pochi a seguire questa sezione ed il lavoro abbonda, escludere qualcuno che si rende disponibile a dare una mano ed a offrire il suo contributo, sarebbe da Tafazzi.

ho riscaricato msnfix a quanto pare è stato modificato cioè' è stato ripulito :) dal file incriminato che era se nn sbaglio msnchk.exe bene bene adesso facendo una scansione tutto pulito quindi il mio intervento in passato e mi rivolgo a murack è servito ;) ottimo :)
Scusa Gold, ma ci ho capito poco: dove hai trovato quell'msnchk.exe riferito a MSNFix??

Premesso che si stanno evidenziando comportamenti noti anche nel passato dove guarda caso si instaura un ruolo "capo" ad un utente mis ento nella posizione di avvertire gli utenti interessati a ritornare sui loro passi.
Non è passato molto dal caso Francizio dove il clima di "camerata" è stato duramente criticato da me avvertendo gli inetressati.
Se si ripete si fa pulizia.

Discorso breve, chiaro, trasparente e molto conciso!


E' un forum aperto a chiunque, siamo una community (quindi non una camerata) e si ascolta e si aiuta qualsiasi persona della comunità, quindi dovete accettare anche IGOR!

quoto igor cerca solo aiuto tutto quà :) per apprendere nuove cose a lui sconosciute ;)

Scusa Gold, ma ci ho capito poco: dove hai trovato quell'msnchk.exe riferito a MSNFix??

river era nel file zippato un mesetto fà credo prima che venisse modificato un utente disse che il file in questione era infetto da un trojan quindi effettuando una scansione personalmente il file era vermente infetto da un trojan Infostealer.Gampass ;)
ecco il link http://www.hwupgrade.it/forum/showthread.php?t=1668722

river era nel file zippato un mesetto fà credo prima che venisse modificato un utente disse che il file in questione era infetto da un trojan quindi effettuando una scansione personalmente il file era vermente infetto da un trojan gamestealer.gamepass ;)
Intanto di che file zippato stiamo parlando?.
Veramente infetto non direi (saremmo dei pazzi a utilizzare un tool che ha un trojano di suo): sarà stato un falso positivo (sono diversi gli antivirus che riconoscono MSNFix (ma anche altri tool di rimozione che facciamo usare) come pericoloso.
Poi, altra cosa che non ho ancora capito: cosa sarebbe stato modificato?.

Scusa Deg, ma non mi pare che nessuno sia stato escluso.
Non confondiamo il clima di goliardia con il quale, a volte, tra di noi, affrontiamo il Forum con il cameratismo, sono due cose ben diverse e, in qualche modo, agli inizi, ci siamo passati tutti: ci sono passato io, ci sono passati Nuz, Murack, Deneb, Francizio ed altri ancora.
Ognuno di noi affronta le questioni, si inserisce in un contesto o in un ambiente e si rapporta con le persone, in maniera diversa: Igor, presumo, avrà il suo modo (giusto o sbagliato che sia, non è importante).
Non siamo una Casta e, soprattutto, non ci sono Capi (può darsi che qualcuno abbia un suo punto di riferimento, ma questo è un discorso diverso): siamo, più semplicemente, un gruppo di persone che si conosce da diverso tempo, ha consolidato i rapporti, ed interagisce in piena concordanza.
Che io ricordi, nessuno, sulla scorta di chissà quale tacito accordo tra utenti più "anziani" (non sapevo che termine utilizzare), è mai stato tagliato fuori.
Se Igor ritiene di avere un problema con me (personalmente, di certo, non ne ho con lui, non ne avrei motivo) ha solo da contattarmi in PM, mi sembra la cosa più semplice da fare.
E,considerato che già siamo in pochi a seguire questa sezione ed il lavoro abbonda, escludere qualcuno che si rende disponibile a dare una mano ed a offrire il suo contributo, sarebbe da Tafazzi.

a me è sembrato un po' come dire "recintato" ai riguardi di IGOR per questo motivo ho ritenuto opportuno l'intervento, in due thread :)

a me è sembrato un po' come dire "recintato" ai riguardi di IGOR per questo motivo ho ritenuto opportuno l'intervento, in due thread :)
Le apparenze, come le belle donne, a volte ingannano, Deg ;)

Intanto di che file zippato stiamo parlando?.
Veramente infetto non direi (saremmo dei pazzi a utilizzare un tool che ha un trojano di suo): sarà stato un falso positivo (sono diversi gli antivirus che riconoscono MSNFix (ma anche altri tool di rimozione che facciamo usare) come pericoloso.
Poi, altra cosa che non ho ancora capito: cosa sarebbe stato modificato?.

leggi il post che ho linkato ;) http://www.hwupgrade.it/forum/showthread.php?t=1668722
il file incriminato dentro il tool msnfix era come detto sopra msnchk.exe ma è stato eliminato da qualcuno adesso non c'è piu' ed il tool è pulito

leggi il post che ho linkato ;) http://www.hwupgrade.it/forum/showthread.php?t=1668722
il file incriminato dentro il tool msnfix era come detto sopra msnchk.exe ma è stato eliminato da qualcuno adesso non c'è piu' ed il tool è pulito
Scusa Gold, ma tu stai parlando di sta roba?:

Buon pomeriggio a tutti, vi scrivo per segnalarvi che mentre cancellavo la cartella dove all'interno c'era il programmino MSNFix è intervenuto Norton antivirus segnalandovi quanto segue:
Origine: C:\DocumentsandSettings\Salvatore\Desktop\Fix\MSNFix\incl\msnchk.exe
Categoria rischio: Virus
Impatto complessivo dei rischi: Alto
Per ulteriori informazioni sul rischio, fare clic su: Infostealer.Gampass
Azione intrapresa: Rimosso completamente

a proposito di riflessioni personali:
il fatto è che se tu ti fermavi alla sola considerazione su combofix, quindi tralasciando l'eventualità che il pc di Riserside potesse essere infetto da malware, sicuramente Riserside non la avrebbe presa come un "ti punto il dito contro" simile al thread precedente :D

che poi non vedo il motivo di tanta voglia di cercare un appiglio per scoprire un infezione nel suo pc, solo perchè lui aiuta tutti :confused: e forse intaccarne la sua veridicità? dubito che possa mai succedere :D

pace :stordita: :D

se anche tu parli di eventualità,perche la stessa non puo riferirsi al pc di riverside,ho parlato solo di ipotesi migliori e peggiori indipendentemente dal pc al quale si riferiscono,chiunque avrebbe aperto il topic avrei risposto cosi,ma evidentemente le ipotesi peggiori con l'utente riverside non me le posso permettere:rolleyes:
ipotesi migliore:combofix o sistemscan,mi sembra che fin'ora ci abbia azzecato.
secondo te mi è scappato di dire vundo solo perche ho visto l'avatar di riverside?:mbe:
Off Topic: Ero indeciso sul risponderti o meno, ma visto che mi tiri per la manica:


Siamo (i Soci) la casta di HU, non lo sapevi? :cool:



tra un po di post te le sei rimangiate quelle parole,dopo l'intervento del mod,cio che conta per me è cio che hai affermato qui,senza influenze da parte di terze persone
http://www.hwupgrade.it/forum/showpost.php?p=21135639&postcount=7


Ma siccome me lo ritrovo su ben tre P.C. (e su due, non ho mai installato, tool di rimozione), devo capire quale, tra i software che uso su tutti e tre i P.C., lo ha installato :(

Per lo meno, è quasi da escludere (ma anche questo già si sapeva), che sia un virus:

sono proprio curioso anche in questo topic come nell'altro a cosa attribuirai quell'.exe in quei due pc;)

Premesso che si stanno evidenziando comportamenti noti anche nel passato dove guarda caso si instaura un ruolo "capo" ad un utente mis ento nella posizione di avvertire gli utenti interessati a ritornare sui loro passi.
Non è passato molto dal caso Francizio dove il clima di "camerata" è stato duramente criticato da me avvertendo gli inetressati.
Se si ripete si fa pulizia.

Discorso breve, chiaro, trasparente e molto conciso!


E' un forum aperto a chiunque, siamo una community (quindi non una camerata) e si ascolta e si aiuta qualsiasi persona della comunità, quindi dovete accettare anche IGOR!

quindi non sarei il primo che subisce tale trattamento:mbe:
cio non fa che confermare le mie teorie:(

Scusa Deg, ma non mi pare che nessuno sia stato escluso.
Non confondiamo il clima di goliardia con il quale, a volte, tra di noi, affrontiamo il Forum con il cameratismo, sono due cose ben diverse e, in qualche modo, agli inizi, ci siamo passati tutti: ci sono passato io, ci sono passati Nuz, Murack, Deneb, Francizio ed altri ancora.
Ognuno di noi affronta le questioni, si inserisce in un contesto o in un ambiente e si rapporta con le persone, in maniera diversa: Igor, presumo, avrà il suo modo (giusto o sbagliato che sia, non è importante).
Non siamo una Casta e, soprattutto, non ci sono Capi (può darsi che qualcuno abbia un suo punto di riferimento, ma questo è un discorso diverso): siamo, più semplicemente, un gruppo di persone che si conosce da diverso tempo, ha consolidato i rapporti, ed interagisce in piena concordanza.
Che io ricordi, nessuno, sulla scorta di chissà quale tacito accordo tra utenti più "anziani" (non sapevo che termine utilizzare), è mai stato tagliato fuori.


questo che hai scritto non conta ormai,per me vale il tuo post che ho linkato in precedenza,in quel caso ti vedevo piu sincero e paradossalmente ti apprezzavo di piu;)
casta,cameratismo,capi,anziani,soci....:mc:

quoto igor cerca solo aiuto tutto quà :) per apprendere nuove cose a lui sconosciute ;)

non mi sembra che stia cercando aiuto:mbe: ,sto solo partecipando alla discussione piu o meno come tutti:rolleyes:

a me è sembrato un po' come dire "recintato" ai riguardi di IGOR per questo motivo ho ritenuto opportuno l'intervento, in due thread :)

*

io dico che te le sei cercate certe risposte, quindi è a dir poco fuori luogo passare x la vittima e accusare me ed altri di far parte di una casta o ancora peggio di essere soggetti all'influenza del "capo riverside"

mi riferisco a questo tuo intervento il cui significato è lampante e mal si concilia con quello che tu chiami "spirito della comunity" ( QUI) (http://www.hwupgrade.it/forum/showpost.php?p=21134932&postcount=6)

a proposito, vedo che hai modificato il post.....dopo l'intervento del mod.....

tra un po di post te le sei rimangiate quelle parole,dopo l'intervento del mod,cio che conta per me è cio che hai affermato qui,senza influenze da parte di terze persone


:rolleyes:

poi:
xchè hai ritenuto che quel file sia vundo? (vedere QUI) (http://www.hwupgrade.it/forum/showpost.php?p=21151712&postcount=3)

nel 3d della rimozione di vundo, nn appare mai una volta, in nessun log :rolleyes:

Se si tiene presente poi che la casistica c dice che si tratta di un file lasciato da combofix e lo conferma una banale ricerca su google in qualsiasi forum (oltre che in questo), come ho fatto io, rilevando che anche systemscan produce questo file (come puntualizzato anche da chill), nn vedo come tu sia giunto a questa conclusione..... :wtf:

saro io ignorante in materia, ma la tua conclusione nn mi quadra, specialmente buttata li a caso, senza spiegarla... e cosa significava quel "rieccomi"?

che poi nn mi sembra che il tuo intervento abbiamo giovato a nulla nella discussione, visto che, fatto quell'intervento, sei scomparso....."spirito della comunity" ;)

chiedo scusa prima di tutto al mod, di cui sono cosciente il ruole che ha e di ciò che sarà probabilmente "costretto" a fare (cioè sospendermi) xò ritengo che il primo a sbagliare nei toni sei stato tu.....e nn mi va di passare come uno di quei soci subdoli del capo riverside.....come dici tu.....

se ora il mod mi vuole sospendere, credo che faccia bene e rispetterò la sua azione disciplinare, ma certe cose nn mi va che passino.....


x la precisione: nn mi sembra che ne io ne deneb abbiamo avuto problemi ad inserirci in questo team di assistenza......quindi credo poco all'alibi del cameratismo...piuttosto tutto dipende dai modi in cui si c presenta

c vediamo fra 5 o 7 giorni :rolleyes:

dai un'occhiata qui,mi sembra che piu o meno ho detto le stesse cose vostre,solo che qui suonano diverse
http://www.hwupgrade.it/forum/showthread.php?t=1632741&page=3
anche in quel caso si fece girare combo,ok,quindi era legato alla procedura del vundo,ma se riverside non ha fatto girare tool sui due pc,perchè in sisytem32 ha quell'.exe?i programmi da lui menzionati non hanno niente a che vedere con quel file

Ho provato anche Systemscan e non crea il file swreg.exe in system32. Anzi credo che non lo crei proprio in nessuna cartella, anche perchè ho notato che la versione usata da questo tool è rinominata come aswxregb.exe.

Ho provato anche Systemscan e non crea il file swreg.exe in system32. Anzi credo che non lo crei proprio in nessuna cartella, anche perchè ho notato che la versione usata da questo tool è rinominata come aswxregb.exe.

Probabile essendo un pezzo che non lo uso ma ti posso garantire che il file swreg.exe Systemscan lo creava.

Probabile essendo un pezzo che non lo uso ma ti posso garantire che il file swreg.exe Systemscan lo creava.

Ovviamente non mettevo in dubbio quello che tu e (mi pare) murack avevate scritto. Era solo una info ulteriore alla discussione. :)
Purtroppo ho solo l'ultima versione e quindi quello che ho scritto si basa su quella.

Ovviamente non mettevo in dubbio quello che tu e (mi pare) murack avevate scritto. Era solo una info ulteriore alla discussione. :)
Purtroppo ho solo l'ultima versione e quindi quello che ho scritto si basa su quella.

questo l'avevo capito ;) era semplicemente per confermare che swreg.exe Systen Scan lo creava e veniva puntulamente segnalato da Panda, preciso a questo punto che Prevx Csi ancora aveva da venire ;)

anche in quel caso si fece girare combo,ok,quindi era legato alla procedura del vundo,ma se riverside non ha fatto girare tool sui due pc,perchè in sisytem32 ha quell'.exe?
i programmi da lui menzionati non hanno niente a che vedere con quel file
I programmi da me menzionati sono quelli che condivido su tutti e tre i P.C. (ne ho tralasciati due: Outpost Firewall Professional e Messenger).
Io non ho mai detto sono certo che swreg,exe (vatti a rileegere i miei post) venga creato da uno dei programmi che condivido su tutti e tre i P.C. ma più semplicemente, che, dati alla mano, considerato tutto, potrebbe dipendere da quello.
Ora, visto che appari ferrato sulla questione: (vedi tua affermazione):
i programmi da lui menzionati non hanno niente a che vedere con quel file
dimmi: sulla base di quelli che sono i software installati in egual maniera sui miei tre P.C., quale tra questi può o non può aver ha creato swreg.exe (io non lo ho ancora capito) e per quale ragione (una analisi completa e dettagliata sarebbe gradita):

● WINDOWS XP PROFESSIONAL (licenziato);
● NOD32 (licenziato);
● OUTPOST FIREWALL PRO (licenziato);
● OFFICE 2003 (licenziato);
● SKYPE;
● MSN MESSENGER;
● GMAIL NOTIFIER;

Sorvolo sul resto (vedi qui: http://www.hwupgrade.it/forum/showpost.php?p=21169030&postcount=111)
Stai coinvolgendo, tutti, in questione tutta tua (nei miei confronti) ed hai provocato la reazione di una delle poche persone (Murack) che, per l’educazione che ha, non si sarebbe mai permessa di intervenire nella maniera in cui è intervenuta.
Ti ho invitato, ben due volte, a contattarmi in PM nel caso in cui tu debba chiarire qualcosa con me.
Non coinvolgere, come stai facendo, altre persone in queste situazione e, soprattutto, cerca di cogliere l'invito del Moderatore di sezione (Deg).
Aspetto, da parte tua, chiarimenti e delucidazioni, in relazione alla questione legata a swreg.exe che mi riguarda (visto che per me (ma non solo per me) è buio totale ma, a quanto pare, per te non lo è.
Partendo dalla analisi, da parte tua, dei software condivisi su tutti i miei tre P.C. (sono quelli che ho elencato sopra …. Niente crackz e nessuna cazzata ….. io le licenze dei programmi le acquisto …. compresa quella di WinRrar), e dal fatto che su due dei miei tre P.C. non ho mai fatto girare i tool di rimozione che facciamo utilizzare, di norma, in questa sottosezione (e questo lo ho già precisato) magari riusciamo a venirne a capo (anche se, forse, ne sono venuto a capo da solo, ma questo è tutt'altro discorso).

Ribadisco: la questione, per quel che mi riguardava, era già chiusa ancor prima dell'intervento di Deg: è superfluo sottolineare che, per il rispetto che ho nei confronti di Murack e di tutti coloro che, ogni giorno, si smazzano (non certo io) per mandare avanti questa sezione, e che, in qualche maniera hai volutamente coinvolto, il mio intervento era dovuto.

senti riverside questo è davvero il mio ultimo post,perche al momento credo sia meglio io mi allontani,tornero quando tutto sarà piu calmo.Onestamente non capisco perche ogni volta che mi quoti continui a parlarmi di crack e seriali(lo hai fatto qui e nell'altro post in cui dicevi che misconscevo cosa volesse significare il termine "licenziato").Questo dalla mie parti si dice buttare fango sulla gente,visto che ho sempre sconsigliato a tutti i miei amici e amiche di scaricare quella robaccia dal p2p.Non scarico crack e similari,mai fatto e mai lo farò,non compro i software ma a differenza tua vado di free o di offerte pescate dalla rete,visto che a stento mi posso permettere l'adsl.
visto che ne sei venuto a capo,la mia presenza o se vogliamo,ma proprio con presunzione,funzione,se mai c'è stata,non ha piu senso.
arrivederci a tutti gli utenti con cui ho avuto il piacere di parlare:)
buona continuzione;)

ma come faccio a ripulire il pc da quel file?
:muro:

@power86:

Fai così:

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:

start->esegui: combofix /u

N.B. verranno reimpostate le impostazioni dell'orologio, reimpostate le opzioni di visualizzazione delle estensioni e di cartelle e file nascosti, e riattivato il Ripristino configurazione di sistema.

Se poi ce l'hai ancora allora puoi anche eliminarlo manualmente.