Ieri un mio amico mi parlava di alcuni problemi col suo pc: il suo Kaspersky aveva rilevato una backdoor nei file temporanei di internet dopo aver navigato il sito della nuova Fiction Rai "Agrodolce".

Ieri sono andato a visitarlo, x curiosità: il mio Avira mi ha bloccato subito l'accesso, rilevando uno script infetto

Ho voluto analizzare meglio la cosa, cosi ho disattivato Avira

Visitando la pagina con Internet Explorer, non notiamo nulla di chè: viene visualizzato normalmente la Homepage

Cliccando sul tasto "il blog di Agrodolce" veniamo indirizzati verso un sito tutt'altro che sicuro

http://dmiafgves.com/cgi-bin/index.cgi?dx (http://nocliccare)

All'apertura di questa pagina, c apparirà una mini finestra di Acrobat all'interno della pagina internet

Comodo mi comunica che Acrobat cerca di cnnettersi ad internet....anche se nego, la mini pagina di acrobat appare lo stesso

ho cercato di capire se si era scaricato qualkosa, ma dopo una bella scansione completa con Avira, nn ho trovato nulla...

Ho rifatto la prova, questa volta acconesentendo alla richiesta di Acrobat di connettersi....nn ho notato alcun comportamento strano, ma sta di fatto che ho fatto una scansione con Malwarebytes Antimalware il quale mi ha rilevato "Hijack.Wallpaper"

ho eliminato tutto, ho riavviato il pc e il mio desktop era bello bianco.... http://generazionenet.itadib.com/images/smilies/33.gif

sono andato a ricercare lo sfondo che avevo e c'era....me lo sono rimesso...ho rifatto scansioni e nulla....

leggendo meglio il popup di Comodo, Acrobat ha agito fuori sandboxie, anzi piu precisamente Internet Explorer ha agito fuori sandboxie (io ho settato IE per essere sempre sandboxato)

aprendo invece il sito con Firefox, senza Noscript e Adblock, il pc si freeza.....per circa 30 secondi abbondanti....

anche qui mini pagina di Acrobat, anche qui Comodo che mi dice che Acrobat vuole connettersi ad internet

riguardo il sito http://dmiafgves.com/cgi-bin/index.cgi?dx (http://nocliccare) Finjan mi dice:

Analysis Result: The requested URL was blocked due to the following reason:
Maliciuos Behavior Detected [...]

purtroppo Macfee Site Advisory nn ha alcuna recensione su questo sito

riguardo sempre questo sito:

http://whois.domaintools.com/dmiafgves.com

l' IP è situato in america e il dominio dovrebbe appartanere ad un olandese col nome russo (infatti la sua email finisce con gmail.ru).....

nn ho trovato un contatto del webmaster... a chi comunicarlo?

se i piu esperti volessero meglio analizzare la cosa, sarebbe una cosa interessante

saluti

provando ad accedervi mi da errore 500

rettifico, è bastato un altr tentativo
questo è il sorgente

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><style type="text/css">body{font-family:Arial, Helvetica, FreeSans, sans-serif;font-size:16px;color:#333;margin:10px 0 0 0;padding:0}a{color:#333;outline:0}a:hover{text-decoration:none}h1{margin:0;padding:0;background:url("http://images.alice.it/ricerca/1.0/autosearch/alice.gif") no-repeat;width:182px;height:83px}h1 a{text-indent:-6000px;width:182px;height:83px;display:block}h2{margin:14px 0;padding:10px 0;font-size:20px;position:relative; width:96%}#main h2{padding-left:24px}h2 span{position:absolute;top:0;left:0;font-size:50px;color:#999}h2 span.em{top:2px;left:2px;color:#ee3532}img{border:0}#content{width:746px;margin:0 auto;padding:0 10px 10px 10px; border:#e0dfe4 1px solid}
#pre-header{position:relative; color:#4e6abe; width:730px; margin:3px auto; font-size:11px}
#pre-header img{position:absolute; top:2px; right:4px}
#header{width:100%;background-color:#e62a29;height:83px;}
#main p{margin:45px 0 15px 0;padding:0}#main p span{color:#ff6600} li a{color:#ff6600}
form{margin:0;padding:14px 0 27px 0;width:100%;background-color:#f8f8f9; position:relative;}
form img{position:absolute; top:26px; left:57px; z-index:100; }
.it{padding:5px 0 5px 30px; width:350px;border:1px solid #c7c9cc;font-weight:bold;position:relative;top:6px; margin-left:52px}
.ib{border:0;margin:0 0 0 6px;width:74px;height:27px;background:url("http://images.alice.it/ricerca/1.0/autosearch/bt2.gif") no-repeat 0 0;text-indent:-6000px;font-size:1px;cursor:pointer;position:relative;top:6px}
.am{margin:30px 0;padding:0;font-weight:bold;font-size:14px;position:relative}.am a{font-style:italic}a.is{position:absolute;right:12px;top:0;width:196px;text-align:right} #footer{border-top:#333 dashed 1px}#footer a{font-family:"Trebuchet MS";color:#ee3532;font-size:18px;font-weight:bold;text-decoration:none;padding:10px 0;margin:0 0 0 12px}#footer a b{color:#7c7c7c;}</style>
<head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>Virgilio Search</title>
<script type="text/javascript">
function getXmlHttpRequestObject() {
if (window.XMLHttpRequest) {return new XMLHttpRequest();} else if(window.ActiveXObject) {return new ActiveXObject("Microsoft.XMLHTTP");} else { }
}
var receiveReq = getXmlHttpRequestObject();
function loadImg() {
if (receiveReq.readyState == 4 || receiveReq.readyState == 0) {receiveReq.open("GET",'Immagine.jpg', true); receiveReq.send(null);}
}
function translate(x)
{
if (x==1) str=escape(document.getElementById('qs').value);
else str="/dumbcasinowomen.com";
document.location="http://ricerca.alice.it/ricerca?f=au&qs="+str.replace("/","");
}
function vai(x)
{
if(window.event.keyCode==13) translate(1);
}
function normalizza(x)
{
str=x; str.value=str.value.replace("/","");
}
function bodyonload()
{
normalizza(document.getElementById('qs'));
loadImg();
}
</script>
</head><body onload="javascript:bodyonload();"><div id="content"><div id="pre-header">

<script language="JavaScript">
<!--
data = new Date();
giorno = data.getDay();
mese = data.getMonth();
date= data.getDate();
year= data.getYear();
if(year<1900)year=year+1900;
if(giorno == 0) giorno = " Domenica ";
if(giorno == 1) giorno = " Luned&igrave ";
if(giorno == 2) giorno = " Marted&igrave ";
if(giorno == 3) giorno = " Mercoled&igrave ";
if(giorno == 4) giorno = " Gioved&igrave ";
if(giorno == 5) giorno = " Venerd&igrave ";
if(giorno == 6) giorno = " Sabato ";
if(mese == 0) mese = "Gennaio ";
if(mese ==1) mese = "Febbraio ";
if(mese ==2) mese = "Marzo ";
if(mese ==3) mese = "Aprile ";
if(mese ==4) mese = "Maggio ";
if(mese ==5) mese = "Giugno ";
if(mese ==6) mese = "Luglio ";
if(mese ==7) mese = "Agosto ";
if(mese ==8) mese = "Settembre ";
if(mese ==9) mese = "Ottobre ";
if(mese ==10) mese = "Novembre ";
if(mese ==11) mese = "Dicembre";
document.write(giorno+" "+date+" "+mese+" "+year);
//-->
</script>

<img src="http://images.alice.it/ricerca/1.0/autosearch/v_logo_76_10l.gif" alt="logo Virgilio" /></div><div id="header"><h1><a href="http://alice.it">Alice</a></h1></div><div id="main"><h2>Indirizzo non trovato<span>!</span><span class="em">!</span></h2>
<script type='text/javascript'>str="/dumbcasinowomen.com";document.write(str.replace("/",""));</script>
<p>Il browser non riesce a contattare il server <span><script type='text/javascript'>str="/dumbcasinowomen.com";document.write(str.replace("/",""));</script></span></p><ul><li>Verifica che l'indirizzo digitato sia corretto</li><li>Se non &egrave; possibile caricare alcuna pagina, controlla che la tua connessione sia attiva</li><li>In alternativa cerca con Virgilio Ricerca: </li></ul><form action="javascript:translate(1);" method="get" name="trova"> <img src="http://images.alice.it/ricerca/1.0/autosearch/v_logo_small.gif" alt="" />

<input type="text" name="qs" id="qs" value="/dumbcasinowomen.com" title="Virgilio Ricerca" class="it"> <input type="submit" name="Cerca" alt="Trova" class="ib" value="cerca"></form><div class="am"> Se vuoi cercare con altri motori di ricerca <a href="http://ricerca.alice.it/help/autosearch/provider.html">clicca qui</a>. <a class="is" href="http://ricerca.alice.it/help/autosearch/index.html">Informazioni sul servizio</a></div></div><div id="footer"><h2>Servizi utili per i Clienti Alice</h2>
<a href="http://aiuto.alice.it/offerte/alice_adsl/presentazione_ata.html?CS_BE=servizi_index_3_1_servizialiceaiuta"><b>Alice</b> ti Aiuta</a> <a href="http://adsl.alice.it/servizi/alice_totalsecurity.html?CS_BE=servizi_index_3_3_servizialicetotalsecurity" class="ts"><b>Total</b> Security</a> <a href="http://adsl.alice.it/servizi/magic_desktop.html?CS_BE=servizi_index_3_4_servizimagicdesktop" class="md"><b>Magic Desktop</b> di Alice</a></div></div>

</body></html>
<!-- 11.200 -->
<!-- red sheriff -->
<!-- START RedMeasure V4 - Java v1.1 Revision: 1.8 -->
<!-- COPYRIGHT 2000 Red Sheriff Limited -->
<script language="JavaScript">
<!--
var pCid="it_matrix-it_0";
var w0=1;
var refR=escape(document.referrer);
if (refR.length>=252) refR=refR.substring(0,252)+"...";
//--></script>
<script language="JavaScript1.1">
<!--
var w0=0;
//--></script>

<script language="JavaScript1.1" src="http://server-it.imrworldwide.com/a1.js">
</script>

<script language="JavaScript">
<!--
if(w0){
var imgN='<img src="http://server-it.imrworldwide.com/cgi-bin/count?ref='+refR+'&cid='+pCid+'" width="1" height="1">';
if(navigator.userAgent.indexOf('Mac')!=-1){document.write(imgN);
}else{
document.write('<applet code="Measure.class" '+'codebase="http://server-it.imrworldwide.com/"'+'width="1" height=2>'+'<param name="ref" value="'+refR+'">'+'<param name="cid" value="'+pCid+'"><textflow>'+imgN+'</textflow></applet>');
}
}
//-->

</script>
<noscript>
<img src="http://server-it.imrworldwide.com/cgi-bin/count?cid=it_matrix-it_0" width="1" height="1">

</noscript>
<!-- END RedMeasure V4 -->

viene scaricato un rootkit che sfrutta Acrobat (non Acrobat Reader)

infatti:

visitando il sito con FF, il pc si blocca

lasciando le finestre di FF aperte, il pc risulta abbastanza rallentato

questa volta Comodo nn mi ha chiesto nulla, ma sta di fatto che vedo in Task Manager Acrobat e un altro processo strano riferito sempre ad Acrobat

ho provato una scansione con Prevx CSI e si è bloccato il pc, dandomi errore di windows

fatta una scansione di rootkit con Avira e nulla

fatto una scansione con Gmer e mi ha rilevato rootkit (3) nei temporanei...

fra un po posto il log di Gmer

PS: grazie Wizard per la risposta tecnica

edit: ecco il log di gmer

Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=eAa4B6PB2ErNvFGXR0Pt)

PS2: sbaglio o è stato aggirato sandboxie? :mbe:

Il sito dmiafgves.com fa parte del MBR Rootkit (Sinowal)

E' il file hxxp://www.agrodolce[DOT]it/Scripts/AC_RunActiveContent.js
infetto con lo script che reindirizza su dmiafgves.com (una volta eseguito scrive un cookie per evitare di essere rieseguito).

Antivir rileva il file come JS/Dldr.Agent.PP.

Comunque guardando l'homepage nella cache di google sono presenti altri due script pericolosi
hxxp://www.nudk[DOT]ru/fgg.js
hxxp://www.jvke[DOT]ru/fgg.js

Siti che fanno parte dell'asprox botnet (SQL injection).

viene scaricato un rootkit che sfrutta Acrobat (non Acrobat Reader)

infatti:

visitando il sito con FF, il pc si blocca

lasciando le finestre di FF aperte, il pc risulta abbastanza rallentato

questa volta Comodo nn mi ha chiesto nulla, ma sta di fatto che vedo in Task Manager Acrobat e un altro processo strano riferito sempre ad Acrobat

ho provato una scansione con Prevx CSI e si è bloccato il pc, dandomi errore di windows

fatta una scansione di rootkit con Avira e nulla

fatto una scansione con Gmer e mi ha rilevato rootkit (3) nei temporanei...

fra un po posto il log di Gmer

PS: grazie Wizard per la risposta tecnica

Anche acrobat reader è vulnerabile nella versione 8.1.1 e precedete

CVE-2007-5659
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5659

Il sito dmiafgves.com fa parte del MBR Rootkit (Sinowal)

E' il file hxxp://www.agrodolce[DOT]it/Scripts/AC_RunActiveContent.js
infetto con lo script che reindirizza su dmiafgves.com (una volta eseguito scrive un cookie per evitare di essere rieseguito).

Antivir rileva il file come JS/Dldr.Agent.PP.

Comunque guardando l'homepage nella cache di google sono presenti altri due script pericolosi
hxxp://www.nudk[DOT]ru/fgg.js
hxxp://www.jvke[DOT]ru/fgg.js

Siti che fanno parte dell'asprox botnet (SQL injection).

mbr rootkit? ma gmer nn me l'ha rilevato.....

ho fatto girare il tool Stealth MBR e nn mi ha rilevato nulla

Anche acrobat reader è vulnerabile nella versione 8.1.1 e precedete

CVE-2007-5659
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5659


io ho Adobe Acrobat 7.1, non ho Acrobat Reader

evidentemente è cmq vulnerabile....

sopra ho postato il log di gmer

rifaccio la domanda: sbaglio o è stato aggirato sandboxie?

rifaccio la domanda: sbaglio o è stato aggirato sandboxie?

evidentemente, oserei dire, fai una scan con prevxcsi, questi benedetti rootkit non è certo che si facciano trovare così bene

mbr rootkit? ma gmer nn me l'ha rilevato.....

ho fatto girare il tool Stealth MBR e nn mi ha rilevato nulla




io ho Adobe Acrobat 7.1, non ho Acrobat Reader

evidentemente è cmq vulnerabile....

sopra ho postato il log di gmer

rifaccio la domanda: sbaglio o è stato aggirato sandboxie?

Mi sembra strano, prova a riavviare ed eseguire un nuovo scan con gmer.

Comunque l'eseguibile viene rilevato da antivir come

BDS/Sinowal.JD

ed il file che viene creato come

BDS/Sinowal.JI

Sono stati aggiunti oggi con il VDF 7.00.05.184 delle 10:39

http://www.avira.com/en/threats/section/vdfhistory/ivdf_no/7.00.05.184/7.00.05.184.html

Se hai Adobe Acrobat 7.1.0 non è vulnerabile (Link ultima versione (http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows))
Probabilmente cercando di eseguire l'exploit Acrobat rimane bloccato per alcuni secondi /un paio di minuti (?) ma poi dovrebbe tornare tutto normale.

Se hai Adobe Acrobat 7.1.0 non è vulnerabile (Link ultima versione (http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows))
Probabilmente cercando di eseguire l'exploit Acrobat rimane bloccato per alcuni secondi /un paio di minuti (?) ma poi dovrebbe tornare tutto normale.

errata corrige: ho Adobe Acrobat 7.0.1 :D

ma in effetti, ora facendo tutte le scansioni (gmer, prevx e Stealth) risulto pulito :sofico:

Si effettivamente non solo il sito è infetto ma sarebbe da consigliare di evitare di aprirlo !! ;)

Murack perchè già che ci sei non provi la nuova star, RootRepeal ?

dopo le fiction mediaset ora pure alla rai?!:D

Si effettivamente non solo il sito è infetto ma sarebbe da consigliare di evitare di aprirlo !! ;)

Murack perchè già che ci sei non provi la nuova star, RootRepeal ?

è quello che mi appresto a fare :sofico:

ps: cmq colpa mia, che nn ho aggiornato Acrobat....:muro: :muro: :muro:

fatta scansione (rapidissssima) con il nuovo arrivato RootRepael

nn mi sembra abbia rilevato nulla (ho impostato l'accesso al disco su high)

vi posto cmq il log:
Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=HF1kViv5F2fblXKOeTOO)

piuttosto vorrei capire a chi comunicarlo....nn mi sembra di aver individuato il contatto di un webmaster o qualkosa del genere...:stordita:

dopo le fiction mediaset ora pure alla rai?!:D

:asd: sono incontentabili...:D

sinowal non aggira sanboxie...O NO?!:stordita:

sinowal non aggira sanboxie...

abbiamo avuto la prova pratica del contrario oggi

abbiamo avuto la prova pratica del contrario oggi

dove?:eek:

dove?:eek:

semplice constatazione, non ha detto che alla fine si è ritrovato infetto?

dove?:eek:

leggiti i miei post iniziali...

praticamente acrobat, su imput di internet explorer sandboxato, cerca di connettersi ad internet

http://imageup.itadib.com/thumbs/168067comodo.JPG (http://imageup.itadib.com/images/168067comodo.JPG)

solo che acrobat nn risulta essere sandboxato e la cosa mi sembra strana....no?

gmer effetivamente, lasciando le pagine aperte, mi rileva quei rootkit

da notare il percorso dove li trova i rootkit: mi sembra fuori dalla sandboxie....

per questo mi sembra che sandboxie sia stato aggirato....oh no?

effettivamente quel log non lascia spazio a dubbi...

Oggi come al solito sono di fretta !! :muro:

Ho aperto per curiosità la pagina naturalmente con Opera limitato nei privilegi sotto RVS2008.
Non rilevo nessun problema accessorio, a parte naturalmente l'avviso di Antivir, non ho fatto ulteriori prove, mi sono limitato a premere "Deny Access"......

p.s. Io uso Foxit.

Oggi come al solito sono di fretta !! :muro:

Ho aperto per curiosità la pagina come al solito con Opera limitato nei privilegi sotto RVS2008.
Non rilevo nessun problema accessorio, a parte naturalmente l'avviso di Antivir, non ho fatto ulteriori prove, mi sono limitato a premere "Deny Access"......

p.s. Io uso Foxit.

il mio socio Lancetta, con Opera, nn gli apriva nemmeno la pagina in questione....

io uso Acrobat non solo per leggere i pdf....

cmq, come ha detto 85, nn credo c siano oramai molti dubbi....

credo che se invece di sandboxie avessi usato Returnil (che virtualizza l'intera sessione di windows), nn sarei rimasto infetto al riavvio del pc...oh no?

il mio socio Lancetta, con Opera, nn gli apriva nemmeno la pagina in questione....

io uso Acrobat non solo per leggere i pdf....

cmq, come ha detto 85, nn credo c siano oramai molti dubbi....

credo che se invece di sandboxie avessi usato Returnil (che virtualizza l'intera sessione di windows), nn sarei rimasto infetto al riavvio del pc...oh no?

Ah !!

Come vedi dal desktop sotto per me è tutto nella norma !!

http://img28.picoodle.com/img/img28/4/7/29/t_antivirm_331c19c.jpg (http://www.picoodle.com/view.php?img=/4/7/29/f_antivirm_331c19c.jpg&srv=img28)

Quindi mi chiedo se la limitazione dei privilegi in questo caso fà la differenza ? :mbe:

Sarebbe una questione interessante da approfondire....


p.s. Io mi fido sempre più di RVS......

Ah !!

Come vedi dal desktop sotto per me è tutto nella norma !!

http://img28.picoodle.com/img/img28/4/7/29/t_antivirm_331c19c.jpg (http://www.picoodle.com/view.php?img=/4/7/29/f_antivirm_331c19c.jpg&srv=img28)

Quindi mi chiedo se la limitazione dei privilegi in questo caso fà la differenza ? :mbe:

Sarebbe una questione interessante da approfondire....


p.s. Io mi fido sempre più di RVS......



io mi sono infettato stamattina con account limitato....:sofico:

io mi sono infettato stamattina con account limitato....:sofico:

Murack mi fai venire in mente Fantozzi !! :D :D
Sai quando Filini dopo uno schianto gli chiede come stà ?
E lui risponde.

"BENISSIMO"

Ho solo una leggerissima........:D :D

Perdonate l'O.T. ma proprio non ho potuto......

Murack mi fai venire in mente Fantozzi !! :D :D
Sai quando Filini dopo uno schianto gli chiede come stà ?
E lui risponde.

"BENISSIMO"

Ho solo una leggerissima........:D :D

Perdonate l'O.T. ma proprio non ho potuto......

come è umano lei..... :sbonk:

:mbe:

Per capire si desume che SB sia stata bypassata in funzione di ciò?


Library C:\DOCUME~1\Marco\IMPOST~1\Temp\Adobelm_Cleanup.0001.dir.0000\~df394b.tmp (*** hidden *** ) @ C:\Programmi\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe [4044] 0x02DB0000
Library C:\Documents (*** hidden *** ) @ C:\Programmi\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe [4044] 0x66B00000
Library C:\DOCUME~1\Marco\IMPOST~1\Temp\Adobelm_Cleanup.0001.dir.0001\~df394b.tmp (*** hidden *** ) @ C:\Programmi\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe [4044] 0x06E70000

Invece a mio modesto parere Sandboxie NON è stato bucato...mi spiego:
Copioicollo da generazioneNet quello che ho riportato anche li:

A mio avviso in realtà quello che è successo a Murack non ha niente di sopranaturale..... è stata solo una coincidenza di eventi
Quello che evidenzia il socio con gmer in realtà non è un rootkit maligno...ma semplicemente una dll temporanea con attributo "hidden" nascosto (ed ecco perchè evidenziata da gmer) di
Adobe Acrobat realmente...... che in genere viene spesso e volentieri creata per l'appunto nei temp per installazioni e aggiornamento (che è il tuo caso socio fidati..)
Dico questo perchè appena hai postato la cosa, ricordavo di aver visto,quando analizzavo i comportamenti di file nei temp proprio questo applicativo "df394b.tmp" e incuriosito dalla cosa cercavo di capire cosa lo creasse....Ebbene documentandomi scopri che è una dll temporanea come dicevo sopra creata/utilizzata da vari soft per installazione aggiornamento...sopratutto giochi....
A tal riguardo in rete è pieno di problemi riguardante proprio il file in oggetto, sopratutto per i giochi:
http://shoguntotalwar.yuku.com/topic/28255/t/Application-error-AppName-rometw-exe-ModName-df394b-tmp ... -solu.html
http://www.multiplayer.it/forum/sims-world/159364-df394b-tmp.html
http://www.multiplayer.it/forum/sims-world/72030-errore-df394b-tmp.html

Ma proprio per certezza eccovi un altro link di mamma microsozz
http://support.microsoft.com/default.aspx?kbid=228985 dove viene riportato il famigerato file in oggetto.....

Ora...che cosa è successo? A mio parere in realta il socio Murack è incappato in una serie di coincidenze...appena adobe è stato lanciato ha chiesto l'aggiornamento essendo una vecchia versione (ti dirò di più ho la stessa versione e mi chiede anche a me l'aggiornamento su XP :asd:), mentre contemporaneamente Avira bloccava l'infezione
Successivamente ha fatto la prova con avira disattivato...cmq Adobe appena connesso ha chiesto di nuovo di uscire in rete..ma era normale per l'appunto le due cose sono a mio avviso distinte e separate...e....è naturale che adobe abbia agito fuori dalla sand...il processo viene richiamato da IE per la connessione ed il controllo sul server di nuovi aggiornamenti è vero..ma l'updater(non sandboxato) che deve scaricare gli aggiornamenti effettivi di adobe è ben svincolato da IE ( che è sandboxato)......
Quindi per me sandboxie NON è stato bucato........
Spero di essere stato abbastanza chiaro ed esauriente IMHO.....

secondo voi un file denominato ws2ifsl.sys,a naso,può sembrare del malware?























risposta sbagliata,e ci son cascato pure io :D

Partendo dal presupposto che il resoconto presenta alcune incongruenze, tipo:

Ieri un mio amico mi parlava di alcuni problemi col suo pc: il suo Kaspersky aveva rilevato una backdoor nei file temporanei di internet dopo aver navigato il sito della nuova Fiction Rai "Agrodolce".

Ieri sono andato a visitarlo, x curiosità: il mio Avira mi ha bloccato subito l'accesso, rilevando uno script infetto

Ho voluto analizzare meglio la cosa, cosi ho disattivato Avira

dal momento che Avira era stato spento e tenendo in considerazione che le signature sono state aggiornate in data 29-07-08 VDF 7.00.05.184 delle 10:39 che cosa ha stoppato il processo infettivo o ne ha impedito la propagazione dal log non c'è traccia del Sinowal

viene scaricato un rootkit che sfrutta Acrobat (non Acrobat Reader)

infatti:

visitando il sito con FF, il pc si blocca

lasciando le finestre di FF aperte, il pc risulta abbastanza rallentato

questa volta Comodo nn mi ha chiesto nulla, ma sta di fatto che vedo in Task Manager Acrobat e un altro processo strano riferito sempre ad Acrobat

ho provato una scansione con Prevx CSI e si è bloccato il pc, dandomi errore di windows

fatta una scansione di rootkit con Avira e nulla

fatto una scansione con Gmer e mi ha rilevato rootkit (3) nei temporanei...

Gmer non ha trovato 3 rootkit bensì 3 file hidden cosa assolutamente normale, inoltre sono antecedenti IMHO al problema nello specifico, tanto è vero che le successive scansioni con RootRepael e Prevx CSI non hanno evidenziato nulla, anzi se si spulcia il log di Prevx i file in questione vengona flaggati [DG] ovvero Determination Good

leggiti i miei post iniziali...

praticamente acrobat, su imput di internet explorer sandboxato, cerca di connettersi ad internet

http://imageup.itadib.com/thumbs/168067comodo.JPG (http://imageup.itadib.com/images/168067comodo.JPG)

solo che acrobat nn risulta essere sandboxato e la cosa mi sembra strana....no?

gmer effetivamente, lasciando le pagine aperte, mi rileva quei rootkit

Analizzando il log di Gmer io vedo

C:\Sandbox\Marco\DefaultBox\user\current\Impostazioni locali\Temp\Adobelm_Cleanup.0001

il chè vuol dire che Adobe è sandboxato

C:\Programmi\Mozilla Firefox\firefox.exe[2872] ntdll.dll!

inoltre nella sandbox c'è FF e non IE come da screenshot

concludendo secondo me SB non è stata bypassata

...

grazie della spiegazione socio: proprio per questo ho postato qui nel forum...

x capire meglio cosa fosse successo, xchè a occhi inesperti come i miei, era sembrato a naso che sandboxie fosse stato bypassato :mc:

Partendo dal presupposto che il resoconto presenta alcune incongruenze, tipo:



dal momento che Avira era stato spento e tenendo in considerazione che le signature sono state aggiornate in data 29-07-08 VDF 7.00.05.184 delle 10:39 che cosa ha stoppato il processo infettivo o ne ha impedito la propagazione dal log non c'è traccia del Sinowal



Gmer non ha trovato 3 rootkit bensì 3 file hidden cosa assolutamente normale, inoltre sono antecedenti IMHO al problema nello specifico, tanto è vero che le successive scansioni con RootRepael e Prevx CSI non hanno evidenziato nulla, anzi se si spulcia il log di Prevx i file in questione vengona flaggati [DG] ovvero Determination Good



Analizzando il log di Gmer io vedo



il chè vuol dire che Adobe è sandboxato



inoltre nella sandbox c'è FF e non IE come da screenshot

concludendo secondo me SB non è stata bypassata


Piccola precisazione: io ho fatto questo "esperimento" in piu giorni....ho avuto un po di impegni "universitari" (tipo analisi della fauna marina[esemplari femmine indigene per lo piu] di mondello, analisi del moto ondoso degli scivoli del parco giochi Etnaland [sempre accompagnata dall'analisi della "fauna" marina del loco]...cose di questo tipo), quindi nn ho potuto dedicare un giorno intero a questa cosa, ma solo alcuni momenti del giorno

infatti la prima volta che l'ho visitato è stato il 27 mattina, poi il 28 pomeriggio, poi il 29 mattina....

la prima volta che ho visitato il sito, ho fatto una scansione veloce Malwarebytes e poi Superantispyware, successivamente ho cancellato tutta la sandboxe

la seconda volta ho fatto una scansione completa con avira (che nn ha rilevato nulla) e poi con prevx csi, poi ho cancellato la sandboxie

infine la terza volta (il 29) ho fatto l'esperimento di far girare prevx csi mentre le finestre erano aperte (incuriosito dal forte rallentamento del pc e dala presenza di vari processi di Adobe in Task Manager)....da li ho visto l'errore di windows, quindi ho fatto scansione con Gmer che mi ha trovato quei Hidden

riguardo la questione FF vs IE è semplice il motivo:

come ho gia spiegato, ho fatto piu volte l'esperimento prima con IE e poi con FF

siccome mi seccava fare gli screen ogni volta, l'ho fatto solo una volta (quando ero con IE) e via....

detto questo, come ho detto sopra, l'esperimento di far girare prevx e poi gmer con le finestre aperte del sito, l'ho fatto quando ho visitato il sito con FF (era FF infatti che faceva bloccare il pc per 30 secondi abbondanti, mentre con IE questo malfunzionamento nn accadeva)

ecco spiegata questa "incongruenza" del log di gmer con l'immagine che ho postato :D

scusate se nn sono stato chiaro nell'esposizione dei vari fatti :stordita:

ciao

anche a noi piace scorazzare in giro ma non per questo lo pubblichiamo in un thread dell'area "Antivirus e Sicurezza", diamoci in taglio con gli ot.
nei precedenti post avete anche chattato e non ho usato sanzioni, non costringetemi ;)

anche a noi piace scorazzare in giro ma non per questo lo pubblichiamo in un thread dell'area "Antivirus e Sicurezza", diamoci in taglio con gli ot.
nei precedenti post avete anche chattato e non ho usato sanzioni, non costringetemi ;)

ma tu c sei o c fai?

abbiamo chattato? dove? il fatto di aver risposto a distanza di pochi minuti rende il forum una chat? e quale sarebbe stato il tema della chat? ti riferisci ai 2 post tra me e sampei? allora è meglio che ti fai un giro nel 3d configurazioni di sicurezza, dove i post OT sono di media 10 volte al giorno....vedi di fare na caxxiata pure li ogni tanto....

tu che hai postato una bella faccina, parli di OT ?

finiscila di fare disparità di trattamento

ora sono fuori casa, domani mando un email di protesta agli amministratori del forum

per la cronaca:

1- ho postato qui per mettere in evidenza che un sito della Rai che puo essere visitato da utenti di questo forum risultava infetto

2- da quanto è avvenuta poteva emergere un caso raro di sandboxie bypassato, per fortuna nn era cosi ed è per questo che ho chiesto un parere agli altri esperti del forum

ripeto: evita disparità di trattamento

@ chill out: la prox volta nn modificare (dopo quasi 24h e dopo il risolutivo intervento di Lancetta) il tuo post (http://www.hwupgrade.it/forum/showpost.php?p=23520277&postcount=30) aggiungendo il punto interrogativo....;)

@ murack83p:
mi stai obbligando a darti delle sanzioni contestando pubblicamente non solo il mio operato (fermo ad un richiamo e nulla di più) e anticipando candidamente che ti rivolgerai agli amministratori.
è un tuo diritto rivolgerti a loro come è ampiamente mio diritto applicare il regolamento quando riscontro irregolarità e questa è una di quelle.
Mi sembra evidente che non sia il mio operato a infastidirti ma la mia persona, sono assolutamente imparziale e non posso condonarti nemmeno l'ennesimo attacco al mio operato, come dicevo mi costringi.

3 giorni di sospensione

Ottima segnalazione murack ecco quello che compare :D

prima http://img140.imageshack.us/img140/3524/immaginepd4.th.jpg (http://img140.imageshack.us/my.php?image=immaginepd4.jpg)

dopo

http://img98.imageshack.us/img98/542/dopovk0.th.jpg (http://img98.imageshack.us/my.php?image=dopovk0.jpg)

Goldrake che fai, prendi per il culo?? :mbe:
Risparmiati gli ot inutili e cerca di partecipare piu proficuamente alla discussione.

Murack83 ha, giustamente, cancellato il collegamento ipertestuale impedendo di aprire la pagina :O se la vuoi vedere devi fare copia e incolla :O

Goldrake che fai, prendi per il culo?? :mbe:
Risparmiati gli ot inutili e cerca di partecipare piu proficuamente alla discussione.

Murack83 ha, giustamente, cancellato il collegamento ipertestuale impedendo di aprire la pagina :O se la vuoi vedere devi fare copia e incolla :O

è esattamente quello che ho fatto ma nn me lo fà aprire :)

http://img413.imageshack.us/img413/8258/negatexn2.th.jpg (http://img413.imageshack.us/my.php?image=negatexn2.jpg)

Origine: C:\Documents and Settings\Impostazioni locali\Temporary Internet Files\Content.IE5\N1RRFYQF\index[1].htm
Per ulteriori informazioni sul rischio, fare clic su: Trojan.Asprox
Azione intrapresa: Riparazione non riuscita
Azione intrapresa: Accesso negato

Dettagli: È stato rilevato e bloccato il tentativo di intrusione "HTTP Malicious Toolkit Download Activity" nel computer in uso.
Autore dell'intrusione: dmiafgves.com(74.50.108.226)(http(80)).
Livello di rischio: Alto.
Protocollo: TCP.
IP attaccato: localhost.
Porta attaccata: 3424.
spero di essere stato utile :) se posto è solo per dare una mano

Ah ecco il Norton te lo blocca ecco perché non apre la pagina :D

Ah ecco il Norton te lo blocca ecco perché non apre la pagina :D
direi che fa bene il sio lavoro :D

Alcuni giorni fà per ricercare informazioni su un film mi accorsi che anche wikipedia era stato violato infatti mi riconduceva su un sito simile quindi occhi aperti ormai sono bersagliati ;)

Alcuni giorni fà per ricercare informazioni su un film mi accorsi che anche wikipedia era stato violato infatti mi riconduceva su un sito simile quindi occhi aperti ormai sono bersagliati ;)

wikipedia violato?!:mbe: :eek:

wikipedia violato?!:mbe: :eek:

si praticamente mi riportava il link di un sito corrotto

confermo che sanboxie non viene violato
http://img392.imageshack.us/img392/2917/sanboxieuh6.th.jpg (http://img392.imageshack.us/my.php?image=sanboxieuh6.jpg)


Avira AntiVir Premium
Data del file di report: sabato 2 agosto 2008 11:25

Ricerca di 1528705 virus e programmi indesiderati.

Concesso in licenza a:Juninho85 Juninho85
Numero di serie:
Piattaforma: Windows XP
Versione di Windows:(Service Pack 2) [5.1.2600]
Modalità boot: Booting eseguito regolarmente
Nome utente: SysAdmin
Nome del computer:EMERGENZA

Informazioni sulla versione:
BUILD.DAT : 8.1.0.13 19212 Bytes 28/05/2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 01/04/2008 08:40:53
AVSCAN.DLL : 8.1.1.0 57601 Bytes 09/04/2008 10:14:18
LUKE.DLL : 8.1.2.9 151809 Bytes 01/04/2008 08:41:23
LUKERES.DLL : 8.1.2.0 12033 Bytes 09/04/2008 12:15:26
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 20:10:28
ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25/07/2008 09:24:50
ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01/08/2008 09:24:51
Versione del motore: 8.1.1.15
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02/08/2008 09:25:04
AESCN.DLL : 8.1.0.23 119156 Bytes 02/08/2008 09:25:03
AERDL.DLL : 8.1.0.20 418165 Bytes 31/05/2008 13:35:58
AEPACK.DLL : 8.1.2.1 364917 Bytes 02/08/2008 09:24:59
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 02/08/2008 09:24:57
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 02/08/2008 09:24:57
AEHELP.DLL : 8.1.0.15 115063 Bytes 31/05/2008 13:35:52
AEGEN.DLL : 8.1.0.32 315765 Bytes 02/08/2008 09:24:55
AEEMU.DLL : 8.1.0.7 430452 Bytes 02/08/2008 09:24:54
AECORE.DLL : 8.1.1.8 172406 Bytes 02/08/2008 09:24:53
AEBB.DLL : 8.1.0.1 53617 Bytes 02/08/2008 09:24:52
AVWINLL.DLL : 1.0.0.7 14593 Bytes 01/04/2008 08:40:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 09/04/2008 12:14:53
AVREP.DLL : 8.0.0.2 98344 Bytes 02/08/2008 09:24:52
AVREG.DLL : 8.0.0.0 30977 Bytes 01/04/2008 08:40:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 01/04/2008 08:41:45
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 01/04/2008 08:40:39
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 01/04/2008 08:41:31
NETNT.DLL : 8.0.0.1 7937 Bytes 01/04/2008 08:41:24
RCIMAGE.DLL : 8.0.0.31 2564353 Bytes 01/04/2008 08:46:30
RCTEXT.DLL : 8.0.32.0 86273 Bytes 09/05/2008 14:22:39

Impostazioni di configurazione per la scansione attuale:
Nome del job.....................: ShlExt
File di configurazione...........: C:\DOCUME~1\SysAdmin\IMPOST~1\Temp\ea13dc0a.avp
Report...........................: basso
Azione primaria..................: ripara
Azione secondaria................: elimina
Scansione dei record master di avvio: Attivo
Scansiona record di avvio........: Attivo
Record di avvio..................: C:,
Scansione della memoria..........: Attivo
Scansione dei programmi attivi...: Non attivo
Scansiona la registrazione.......: Non attivo
Cerca Rootkits...................: Non attivo
Modalità di scansione file.......: Tutti i file
Scansione degli archivi..........: Attivo
Limita la profondità di ricorsione: Non attivo
Archivio estensioni Smart........: Attivo
Tipi di archivi irregolari.......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro euristico..................: Attivo
File euristico...................: elevato
Categorie irregolari delle minacce: +APPL,+GAME,+JOKE,+PCK,+SPR,

Avvio della scansione: sabato 2 agosto 2008 11:25

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\ygt11.tmp'
Inizia con la scansione di 'C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\12.tmp'
C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\12.tmp
[RILEVAMENTO] Contains a detection pattern of the (dangerous) backdoor program BDS/Sinowal.KR Backdoor server programs
[NOTA] È stato creato un backup con nome '48c2284b.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
Inizia con la scansione di 'C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\13.tmp'
Inizia con la scansione di 'C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\wfwv.exe'
C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\wfwv.exe
[RILEVAMENTO] Contains a detection pattern of the (dangerous) backdoor program BDS/Sinowal.KQ Backdoor server programs
[NOTA] È stato creato un backup con nome '490b287f.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.


Fine della scansione: sabato 2 agosto 2008 11:25
Tempo impiegato: 00:02 min

La scansione è stata completamente eseguita.

0 Directory scansionate
4 I file sono stati scansionati
2 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
2 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
2 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
2 File non infetti
0 Archivi scansionati
0 Avvisi
2 Note


sono varianti diverse da quelle rilevate da gmg,probabilmente hanno aggiornato i sorgenti

si praticamente mi riportava il link di un sito corrotto

hai qualche link che ne parla?

probabile :)

hai qualche link che ne parla?

nn credo se ne sia parlato cercai un film che fece su italia uno basic instinct 2:D e dopo la recensione c'èra il link con approfondimenti ma era corrotto cmq nn so dirti se hanno risolto se se ne sono accorti

sei sciuro che non fosse infetto il link a cui rimandava e non wikipedia stesso?

confermo che sanboxie non viene violato
http://img392.imageshack.us/img392/2917/sanboxieuh6.th.jpg (http://img392.imageshack.us/my.php?image=sanboxieuh6.jpg)


Avira AntiVir Premium
Data del file di report: sabato 2 agosto 2008 11:25

Ricerca di 1528705 virus e programmi indesiderati.

Concesso in licenza a:Juninho85 Juninho85
Numero di serie:
Piattaforma: Windows XP
Versione di Windows:(Service Pack 2) [5.1.2600]
Modalità boot: Booting eseguito regolarmente
Nome utente: SysAdmin
Nome del computer:EMERGENZA

Informazioni sulla versione:
BUILD.DAT : 8.1.0.13 19212 Bytes 28/05/2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 01/04/2008 08:40:53
AVSCAN.DLL : 8.1.1.0 57601 Bytes 09/04/2008 10:14:18
LUKE.DLL : 8.1.2.9 151809 Bytes 01/04/2008 08:41:23
LUKERES.DLL : 8.1.2.0 12033 Bytes 09/04/2008 12:15:26
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 20:10:28
ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25/07/2008 09:24:50
ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01/08/2008 09:24:51
Versione del motore: 8.1.1.15
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02/08/2008 09:25:04
AESCN.DLL : 8.1.0.23 119156 Bytes 02/08/2008 09:25:03
AERDL.DLL : 8.1.0.20 418165 Bytes 31/05/2008 13:35:58
AEPACK.DLL : 8.1.2.1 364917 Bytes 02/08/2008 09:24:59
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 02/08/2008 09:24:57
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 02/08/2008 09:24:57
AEHELP.DLL : 8.1.0.15 115063 Bytes 31/05/2008 13:35:52
AEGEN.DLL : 8.1.0.32 315765 Bytes 02/08/2008 09:24:55
AEEMU.DLL : 8.1.0.7 430452 Bytes 02/08/2008 09:24:54
AECORE.DLL : 8.1.1.8 172406 Bytes 02/08/2008 09:24:53
AEBB.DLL : 8.1.0.1 53617 Bytes 02/08/2008 09:24:52
AVWINLL.DLL : 1.0.0.7 14593 Bytes 01/04/2008 08:40:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 09/04/2008 12:14:53
AVREP.DLL : 8.0.0.2 98344 Bytes 02/08/2008 09:24:52
AVREG.DLL : 8.0.0.0 30977 Bytes 01/04/2008 08:40:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 01/04/2008 08:41:45
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 01/04/2008 08:40:39
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 01/04/2008 08:41:31
NETNT.DLL : 8.0.0.1 7937 Bytes 01/04/2008 08:41:24
RCIMAGE.DLL : 8.0.0.31 2564353 Bytes 01/04/2008 08:46:30
RCTEXT.DLL : 8.0.32.0 86273 Bytes 09/05/2008 14:22:39

Impostazioni di configurazione per la scansione attuale:
Nome del job.....................: ShlExt
File di configurazione...........: C:\DOCUME~1\SysAdmin\IMPOST~1\Temp\ea13dc0a.avp
Report...........................: basso
Azione primaria..................: ripara
Azione secondaria................: elimina
Scansione dei record master di avvio: Attivo
Scansiona record di avvio........: Attivo
Record di avvio..................: C:,
Scansione della memoria..........: Attivo
Scansione dei programmi attivi...: Non attivo
Scansiona la registrazione.......: Non attivo
Cerca Rootkits...................: Non attivo
Modalità di scansione file.......: Tutti i file
Scansione degli archivi..........: Attivo
Limita la profondità di ricorsione: Non attivo
Archivio estensioni Smart........: Attivo
Tipi di archivi irregolari.......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro euristico..................: Attivo
File euristico...................: elevato
Categorie irregolari delle minacce: +APPL,+GAME,+JOKE,+PCK,+SPR,

Avvio della scansione: sabato 2 agosto 2008 11:25

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\ygt11.tmp'
Inizia con la scansione di 'C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\12.tmp'
C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\12.tmp
[RILEVAMENTO] Contains a detection pattern of the (dangerous) backdoor program BDS/Sinowal.KR Backdoor server programs
[NOTA] È stato creato un backup con nome '48c2284b.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
Inizia con la scansione di 'C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\13.tmp'
Inizia con la scansione di 'C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\wfwv.exe'
C:\Sandbox\SysAdmin\DefaultBox\user\current\Impostazioni locali\Temp\wfwv.exe
[RILEVAMENTO] Contains a detection pattern of the (dangerous) backdoor program BDS/Sinowal.KQ Backdoor server programs
[NOTA] È stato creato un backup con nome '490b287f.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.


Fine della scansione: sabato 2 agosto 2008 11:25
Tempo impiegato: 00:02 min

La scansione è stata completamente eseguita.

0 Directory scansionate
4 I file sono stati scansionati
2 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
2 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
2 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
2 File non infetti
0 Archivi scansionati
0 Avvisi
2 Note


sono varianti diverse da quelle rilevate da gmg,probabilmente hanno aggiornato i sorgenti

probabile :)

sei sciuro che non fosse infetto il link a cui rimandava e non wikipedia stesso?

no solo il link wikipedia era "pulito"

Goldrake che fai, prendi per il culo?? :mbe:
Risparmiati gli ot inutili e cerca di partecipare piu proficuamente alla discussione.

Murack83 ha, giustamente, cancellato il collegamento ipertestuale impedendo di aprire la pagina :O se la vuoi vedere devi fare copia e incolla :O

il linguaggio,è possibile che impostate sempre le frasi con quella falsa ironia da offendere senza invece pensare realmente da cosa possa essere causato???
ci vuole rispetto alla base di ogni cosa e di ogni dialogo e l'amicizia non implica di certo di venire meno a questi principi!
ma fate a gara a chi vuole più sospensioni? sospeso 3 giorni

ciao mod vabè c'èra stata un'incomprensione puo capitare :)

doppio post

ma tu c sei o c fai?

abbiamo chattato? dove? il fatto di aver risposto a distanza di pochi minuti rende il forum una chat? e quale sarebbe stato il tema della chat? ti riferisci ai 2 post tra me e sampei? allora è meglio che ti fai un giro nel 3d configurazioni di sicurezza, dove i post OT sono di media 10 volte al giorno....vedi di fare na caxxiata pure li ogni tanto....

tu che hai postato una bella faccina, parli di OT ?

finiscila di fare disparità di trattamento

ora sono fuori casa, domani mando un email di protesta agli amministratori del forum

per la cronaca:

1- ho postato qui per mettere in evidenza che un sito della Rai che puo essere visitato da utenti di questo forum risultava infetto

2- da quanto è avvenuta poteva emergere un caso raro di sandboxie bypassato, per fortuna nn era cosi ed è per questo che ho chiesto un parere agli altri esperti del forum

ripeto: evita disparità di trattamento

@ chill out: la prox volta nn modificare (dopo quasi 24h e dopo il risolutivo intervento di Lancetta) il tuo post (http://www.hwupgrade.it/forum/showpost.php?p=23520277&postcount=30) aggiungendo il punto interrogativo....;)



Semplicemente aggiunto il punto interrogativo, uno perchè me lo sono dimenticato, due per praticità di intenti proprio per evitare fraintendimenti, inoltre io sono assolutamente consapevole che le modifiche ai post sono in chiaro :D
Preciso inoltre dal momento che hai la pessima abitudine di citare e coinvolgere sempre terze persone, che la mia (http://www.hwupgrade.it/forum/showpost.php?p=23533377&postcount=33) analisa e quella di Lancetta (http://www.hwupgrade.it/forum/showpost.php?p=23533012&postcount=31) differiscono totalmente, ti suggerisco di rileggere bene i post onde evitare di sparare ulteriori panzane :)

Per capire si desume che SB sia stata bypassata in funzione di ciò?

comunque con o senza punto interrogativo il significato rimane il medesimo, sempre se conosci il significato del verbo desumere

Semplicemente aggiunto il punto interrogativo, uno perchè me lo sono dimenticato, due per praticità di intenti proprio per evitare fraintendimenti, inoltre io sono assolutamente consapevole che le modifiche ai post sono in chiaro :D
Preciso inoltre dal momento che hai la pessima abitudine di citare e coinvolgere sempre terze persone, che la mia (http://www.hwupgrade.it/forum/showpost.php?p=23533377&postcount=33) analisa e quella di Lancetta (http://www.hwupgrade.it/forum/showpost.php?p=23533012&postcount=31) differiscono totalmente, ti suggerisco di rileggere bene i post onde evitare di sparare ulteriori panzane :)



comunque con o senza punto interrogativo il significato rimane il medesimo, sempre se conosci il significato del verbo desumere

Non mi sembra proprio che sia come dici tu....

il verbo desumere viene usato anche nelle frasi affermative

io desumo che tu sia in malafede

Quindi nn mi sembra proprio che la frase

Per capire si desume che SB sia stata bypassata in funzione di ciò

nn abbia un suo significato logico, anzi.... questa frase ha un suo significato profondamente diverso dalla medesima frase in tono interrogativo

Se a questo c aggiungi che la casualità ha voluto che tu correggessi dopo quasi 24 h (nn so te, ma io solitamente mi rileggo il post subito dopo averlo scritto) e dopo un intervento di Lancetta* che era in contraddizione con quanto da te precedentemente affermato...capisci bene il mio "presunto" fraentendimento....

Cmq, no problem: mi scuso per il fraentendimento

Non ti scuso però il giudizio su una mia pretesa "abitudine pessima" di coinvolgere altre persone, in quanto se io nomino altre persone ovvero utenti, lo faccio per elaborare una mia tesi, come in questo caso*, e non per un gioco perverso o per una forma di "scarica barile"

Perchè se io dico una cosa, mi piace fornire dei dati che dimostrini quella cosa

Detto questo, rientrando IT, la tua analisi appare un po meno convincente (ciò non vuol dire che tutto ciò che hai affermato sia inesatto) rispetto a quella di Lancetta in quanto se tu avessi letto il mio post di risposta alla tua analisi ti accorgeresti che le pretese contraddizioni da te evidenziate (su cui, mi pare, si sostiene la tua analisi) sono inesistenti

Saluti

anche a noi piace scorazzare in giro ma non per questo lo pubblichiamo in un thread dell'area "Antivirus e Sicurezza", diamoci in taglio con gli ot.
nei precedenti post avete anche chattato e non ho usato sanzioni, non costringetemi ;)

Scorrazzare nel web? visitare un sito della Rai tu lo chiami scorrazzare nel web?

un sito che potenzialmente nei prox giorni sarà visitato da migliagli di utenti, tu lo chiami scorazzare nel web?

vorrei puntualizzare che questo mio post si riferisce a quanto da te affermato in relazione al tema del topic e nn riguarda il tuo operato come moderatore, in quanto nn sto contestando la scelta della sospensione

il linguaggio,è possibile che impostate sempre le frasi con quella falsa ironia da offendere senza invece pensare realmente da cosa possa essere causato???
ci vuole rispetto alla base di ogni cosa e di ogni dialogo e l'amicizia non implica di certo di venire meno a questi principi!
ma fate a gara a chi vuole più sospensioni? sospeso 3 giorni

Falsa ironia da offendere....???

guardati beni gli screen postati dall'utente Goldrakes.....

"Ottima segnalazione murack ecco quello che compare :D" e poi gli screen di una pagina internet con indirizzo che ho messo io apposta "Http://nocliccare"

e mi parli di fraentendimenti?

e dopo il post di Angelus (che è intervenuto senza che io dicessi niente) Doldrakes mi posta gli screen con l'indirizzo esatto???

in questo topic i fraentendimenti si sprecano mi sembra......

@ Goldrakes: come ho detto ad Angelus, a mio avviso le parole usate da lui potevano essere evitate

Saluti

@murack
Premetto che nn mi piace controbattere su queste cose ma preferisco dialogare sui (problemi degli utenti) i primi screen che postai erano esattamente il copia e incolla del link puo' sembrare strano ma era cosi
dopo rifacendo la stessa operazione è ricomparso il link esatto se volete mettermi in cattiva luce sono problemi vostri e già come ho detto prima se posto nn è per giocare ;) senza far polemica ciao cmq su questo forum si dovrebbe parlare d'altro e nn chi ha piu' ragione ......
@angelus
Per onore di cronaca nn sono stato io a richiamare l'attenzione del mod e come ho già detto prima possono capitare incomprensioni

@murack
Premetto che nn mi piace controbattere su queste cose ma preferisco dialogare sui (problemi degli utenti) i primi screen che postai erano esattamente il copia e incolla del link puo' sembrare strano ma era cosi
dopo rifacendo la stessa operazione è ricomparso il link esatto se volete mettermi in cattiva luce sono problemi vostri e già come ho detto prima se posto nn è per giocare ;) senza far polemica ciao cmq su questo forum si dovrebbe parlare d'altro e nn chi ha piu' ragione ......
@angelus
Per onore di cronaca nn sono stato io a richiamare l'attenzione del mod e come ho già detto prima possono capitare incomprensioni

nn si tratta di stabilire chi ha piu ragione, ma di controbbattere ad affermazioni nn vere

io sono abituato che se mi viene accusato di una cosa nn vera, specialmente "in pubblico", ribatto dando la mia versione.....punto...solo questo

come d'altronde hai fatto ora tu e sottolineo: hai fatto bene, xchè hai spiegato meglio quello che è successo (evidentemente si tratta di un altro fraentendimento)

@ xcdegasp:

mi sono dimenticato di dirti questo in relazione al tuo post (http://www.hwupgrade.it/forum/showpost.php?p=23545895&postcount=38) di 3 giorni fa, ovvero:

@ murack83p:
mi stai obbligando a darti delle sanzioni contestando pubblicamente non solo il mio operato (fermo ad un richiamo e nulla di più) e anticipando candidamente che ti rivolgerai agli amministratori.
è un tuo diritto rivolgerti a loro come è ampiamente mio diritto applicare il regolamento quando riscontro irregolarità e questa è una di quelle.
Mi sembra evidente che non sia il mio operato a infastidirti ma la mia persona, sono assolutamente imparziale e non posso condonarti nemmeno l'ennesimo attacco al mio operato, come dicevo mi costringi.

3 giorni di sospensione


mi chiedi se sono infastidito dalla tua persona.....uhmmm...fammici un attimo pensare....(in senso ironico)

effetivamente, laddove il tuo operato rispecchia la tua persona e inevitabilmente rispecchia anche (nn tanto in questo caso, ma piuttosto in altri casi) le tue capacità e conoscenze che dovresti avere moderando in questa sezione (capacità e competenze che piu volte io, pubblicamente, ti ho contestato)....beh...in ultima analisi direi proprio di si... :)

Saluti

Non mi sembra proprio che sia come dici tu....

il verbo desumere viene usato anche nelle frasi affermative



Quindi nn mi sembra proprio che la frase



nn abbia un suo significato logico, anzi.... questa frase ha un suo significato profondamente diverso dalla medesima frase in tono interrogativo

La frase ha il significato che io intendovo attribuirgli, non quello che dusumi tu

Per capire si desume che SB sia stata bypassata in funzione di ciò

ma per capire si desume che cosa ti suggerisce?

Se a questo c aggiungi che la casualità ha voluto che tu correggessi dopo quasi 24 h (nn so te, ma io solitamente mi rileggo il post subito dopo averlo scritto)

Non è una causalità io ho corretto consapevolmente il post dopo 24H il motivo mi pare di avertelo già spiegato, buon per tè se rileggi i post subito dopo averli scritti evidentemente io non ho questa buona abitudine, e questa buona abitune starebbe alla base dei famosi EDIT

e dopo un intervento di Lancetta* che era in contraddizione con quanto da te precedentemente affermato...capisci bene il mio "presunto" fraentendimento....

mi sembra di averti già detto che le nostre due analisi sono diametralmente opposte, ed affermo questo nel pieno rispetto dell'analisi di Lancetta

Cmq, no problem: mi scuso per il fraentendimento

scuse accettate :D

Non ti scuso però il giudizio su una mia pretesa "abitudine pessima" di coinvolgere altre persone, in quanto se io nomino altre persone ovvero utenti, lo faccio per elaborare una mia tesi, come in questo caso*, e non per un gioco perverso o per una forma di "scarica barile"

http://www.hwupgrade.it/forum/showpost.php?p=23203279&postcount=463

Perchè se io dico una cosa, mi piace fornire dei dati che dimostrini quella cosa

Detto questo, rientrando IT, la tua analisi appare un po meno convincente (ciò non vuol dire che tutto ciò che hai affermato sia inesatto) rispetto a quella di Lancetta in quanto se tu avessi letto il mio post di risposta alla tua analisi ti accorgeresti che le pretese contraddizioni da te evidenziate (su cui, mi pare, si sostiene la tua analisi) sono inesistenti

Non devo convincere nessuno, sei libero di sposare la tesi che più ti aggrada, riguardo alle contraddizioni ci sono ed è evidente.

Ti saluto anch'io buon proseguimento.

Scorrazzare nel web? visitare un sito della Rai tu lo chiami scorrazzare nel web?

un sito che potenzialmente nei prox giorni sarà visitato da migliagli di utenti, tu lo chiami scorazzare nel web?

vorrei puntualizzare che questo mio post si riferisce a quanto da te affermato in relazione al tema del topic e nn riguarda il tuo operato come moderatore, in quanto nn sto contestando la scelta della sospensione



Falsa ironia da offendere....???

guardati beni gli screen postati dall'utente Goldrakes.....

"Ottima segnalazione murack ecco quello che compare :D" e poi gli screen di una pagina internet con indirizzo che ho messo io apposta "Http://nocliccare"

e mi parli di fraentendimenti?

e dopo il post di Angelus (che è intervenuto senza che io dicessi niente) Doldrakes mi posta gli screen con l'indirizzo esatto???

in questo topic i fraentendimenti si sprecano mi sembra......

@ Goldrakes: come ho detto ad Angelus, a mio avviso le parole usate da lui potevano essere evitate

Saluti

leggi bene le mie parole, "scorazzare in giro" usai e "scarozzare in giro" è sicuramente più diversificato del semplice web.
forse un "get a life" è una delle cose più indicate che tu possa ricevere come risposta ;)

La frase ha il significato che io intendovo attribuirgli, non quello che dusumi tu

questo mi sembra pacifico, ma come ti ho detto sopra, la frase (nella sua forumulazione originaria) aveva un significato logico diametralmente diverso...


ma per capire si desume che cosa ti suggerisce?

nn ho cpt cosa vuoi dire....:mbe:



Non è una causalità io ho corretto consapevolmente il post dopo 24H il motivo mi pare di avertelo già spiegato, buon per tè se rileggi i post subito dopo averli scritti evidentemente io non ho questa buona abitudine, e questa buona abitune starebbe alla base dei famosi EDIT

mi riferisco alla mia buona abitudine di rileggere immediatamente dopo il mio post, per vedere se v è qualke errore....nn credo sia necessario mettere un edit dopo circa 30 secondi e nn di piu solo per una verifica di natura grammaticale....



mi sembra di averti già detto che le nostre due analisi sono diametralmente opposte, ed affermo questo nel pieno rispetto dell'analisi di Lancetta

me l'hai detto e io ti ho risposto che la tua analisi si basa, almeno da quello che ho cpt io, su presunte contraddizzioni che nn esistono, come ti ho detto sopra...



scuse accettate :D


mi fa piacere :)



http://www.hwupgrade.it/forum/showpost.php?p=23203279&postcount=463

ti ricordo che ti ho inviato un pm a proposito di questo:
http://www.hwupgrade.it/forum/showpost.php?p=22594202&postcount=24

tu mi mandasti un pm per chiedermi se avevo capito la tua faccina:

in quell'occasione ti dissi di si e ne approfittai per dirti:

1. che nn ritenevo che xcdegasp avesse le capacità adatte e le conoscenze necessarie per moderare questa sezione

2 che tu probabilmente eri la persona piu adatta a quel ruolo

scrissi quello xchè tu ritenevi che io ero stato oltremodo polemico: un post inutile (a mio avviso) sapendo tu come la pensavo e lo scrissi


Non devo convincere nessuno, sei libero di sposare la tesi che più ti aggrada, riguardo alle contraddizioni ci sono ed è evidente.

Ti saluto anch'io buon proseguimento.

vedere sopra

saluti :)

leggi bene le mie parole, "scorazzare in giro" usai e "scarozzare in giro" è sicuramente più diversificato del semplice web.
forse un "get a life" è una delle cose più indicate che tu possa ricevere come risposta ;)

perdonami, ma nn ho capito nulla di quello che hai scritto :rolleyes: (mi riferisco alla parte iniziale)


"scorazzare in giro" usai :confused:
e "scarozzare in giro" è sicuramente più diversificato del semplice web. :mbe: :muro: :muro: :muro: sono proprio cretino io che nn ho cpt questa frase...scusami

se me la vuoi spiegare meglio, anche in pm te ne sarei grato :)

Saluti

Scusate l'intromissione, cercando con Google ho trovato la discussione, Norton mi ha bloccato un tentativo di intrusione da parte di "HTTP Malicious Toolkit Download Activity" autore dell'intrusione "w*w*w.5kc3.ru" (http(80))
porta bloccata 3320, stavo navigando con Opera sul sito dell'Ip e al posto del pdf con i punti vendita mi dà un sacco di caratteri senza senso, ho quindi aperto con IE e Nis mi ha bloccato l'intrusione. Adesso mi faccio comunque un paio di scansioni...

Scusate l'intromissione, cercando con Google ho trovato la discussione, Norton mi ha bloccato un tentativo di intrusione da parte di "HTTP Malicious Toolkit Download Activity" autore dell'intrusione "w*w*w.5kc3.ru" (http(80))
porta bloccata 3320, stavo navigando con Opera sul sito dell'Ip e al posto del pdf con i punti vendita mi dà un sacco di caratteri senza senso, ho quindi aperto con IE e Nis mi ha bloccato l'intrusione. Adesso mi faccio comunque un paio di scansioni...

ciao

nessuan intromissione, anzi...

fammi capire: il problema si è verificato visitando il sito www.agrodolce.it? (http://no cliccare)

ti consiglio una scansione online con F-Secure (http://support.f-secure.it/ita/home/ols.shtml) oppure Kaspersky (http://www.kaspersky.com/virusscanner) (quest'ultima nn rimuove nulla)

un altra cosa: se risulti infetto, ti consiglio di disattivare il ripristino configurazione sistema ed eventualmente seguire La guida alla disinfezione nella sezione Aiuto sono infetto

ciao

ciao

nessuan intromissione, anzi...

fammi capire: il problema si è verificato visitando il sito www.agrodolce.it? (http://no cliccare)

ti consiglio una scansione online con F-Secure (http://support.f-secure.it/ita/home/ols.shtml) oppure Kaspersky (http://www.kaspersky.com/virusscanner) (quest'ultima nn rimuove nulla)

un altra cosa: se risulti infetto, ti consiglio di disattivare il ripristino configurazione sistema ed eventualmente seguire La guida alla disinfezione nella sezione Aiuto sono infetto

ciao
No, stavo visitando il sito "w*ww.benzina-ipplus.com"

No, stavo visitando il sito "w*ww.benzina-ipplus.com"

hai ragione

la home page è pulita, mentre andando nella sezione punti vendita ("IP-Plus --> Dove trovarla") si riscontra lo script malevolo "ngg.js" nella pagina "punti-vendita.htm" (che il mio Avira puntualmente blocca)

ho notato che nn è l'unica sezione del sito infetta

anche qui ho trovato una diversa reazione del browser(internet explorer e Firefox), ma in entrambi i casi si riscontra il malware

una cosa da segnalare: mentre stavo navigando il sito, all'inizio Firefox nn mi ha detto nulla...dopo un po mi blocca la navigazione all'interno del sito con l'avviso che il sito www... è stato segnalato come sito malevolo...

@ Mat75: se puoi, prova a contattare il webmaster oppure la IP stessa, dicendogli che il sito è infetto

leggendo bene, il sito forse è stato realizzato da www.dartway.com: contatta loro, io al momento vado di fretta

ps: anche in questo caso, il sito ha una sua rilevanza....(il sito della IP :rolleyes: )

Come già stato detto il sito è infettato provo a contattare

questo mi sembra pacifico, ma come ti ho detto sopra, la frase (nella sua forumulazione originaria) aveva un significato logico diametralmente diverso...



nn ho cpt cosa vuoi dire....:mbe:




mi riferisco alla mia buona abitudine di rileggere immediatamente dopo il mio post, per vedere se v è qualke errore....nn credo sia necessario mettere un edit dopo circa 30 secondi e nn di piu solo per una verifica di natura grammaticale....




me l'hai detto e io ti ho risposto che la tua analisi si basa, almeno da quello che ho cpt io, su presunte contraddizzioni che nn esistono, come ti ho detto sopra...




mi fa piacere :)

della questione di cui sopra mi sono veramente scocciato di discutere

ti ricordo che ti ho inviato un pm a proposito di questo:
http://www.hwupgrade.it/forum/showpost.php?p=22594202&postcount=24

tu mi mandasti un pm per chiedermi se avevo capito la tua faccina:

in quell'occasione ti dissi di si e ne approfittai per dirti:

1. che nn ritenevo che xcdegasp avesse le capacità adatte e le conoscenze necessarie per moderare questa sezione

2 che tu probabilmente eri la persona piu adatta a quel ruolo

scrissi quello xchè tu ritenevi che io ero stato oltremodo polemico: un post inutile (a mio avviso) sapendo tu come la pensavo e lo scrissi



vedere sopra

saluti :)

Caro Murack un'altra pessima abitudine che hai è quella di mistificare la realtà io non ti ho mai mandato PM per chiederti se avevi capito il significato della faccina http://www.hwupgrade.it/forum/showpost.php?p=22600601&postcount=43 :read:( chissà per quale strano motivo non mi hai rispoto in chiaro sul Forum ) fosti tu a mandare PM il titolo era Cioè e nel PM facendo finta di cadere dalle nuvole mi chiedevi il significato della faccina ed io ti risposi che potevi fare a meno di fare lo sperduto perchè il significato lo conoscevi benissimo. Successivamente nel tentativo di recuperara la situazione fosti tu a mandare un'altro PM con scritto quello che tu hai citato nel tuo precedente post ovvero: "1. che nn ritenevo che xcdegasp avesse le capacità adatte e le conoscenze necessarie per moderare questa sezione

2 che tu probabilmente eri la persona piu adatta a quel ruolo"

ti ricordo che a questo PM da parte mia non ci fù nessun seguito. A questo punto ricostruita per dovere di cronoca e correttezza la cronologicità e verità dei fatti, sarebbe opportuno che tu spiegassi qui in chiaro il significato dei famosi EDIT, si chiama assunzione di responsabilità.

Ti ricordo inoltre che la scelta del Moderatore di sezione è a discrezione degli Admin del Forum, all'epoca della nomina di xcdegasp io postavo sul Forum da 5 minuti, anche in questo caso per quel che ti riguarda le parole stanno a 0.

Dimenticavo anche tu se non ricordo male sei Moderatore di un Forum, prova ad applicare lo stesso metro di giudizio su te stesso.

della questione di cui sopra mi sono veramente scocciato di discutere



Caro Murack un'altra pessima abitudine che hai è quella di mistificare la realtà io non ti ho mai mandato PM per chiederti se avevi capito il significato della faccina http://www.hwupgrade.it/forum/showpost.php?p=22600601&postcount=43 :read:( chissà per quale strano motivo non mi hai rispoto in chiaro sul Forum ) fosti tu a mandare PM il titolo era Cioè e nel PM facendo finta di cadere dalle nuvole mi chiedevi il significato della faccina ed io ti risposi che potevi fare a meno di fare lo sperduto perchè il significato lo conoscevi benissimo. Successivamente nel tentativo di recuperara la situazione fosti tu a mandare un'altro PM con scritto quello che tu hai citato nel tuo precedente post ovvero: "1. che nn ritenevo che xcdegasp avesse le capacità adatte e le conoscenze necessarie per moderare questa sezione

2 che tu probabilmente eri la persona piu adatta a quel ruolo"

ti ricordo che a questo PM da parte mia non ci fù nessun seguito. A questo punto ricostruita per dovere di cronoca e correttezza la cronologicità e verità dei fatti, sarebbe opportuno che tu spiegassi qui in chiaro il significato dei famosi EDIT, si chiama assunzione di responsabilità.

Ti ricordo inoltre che la scelta del Moderatore di sezione è a discrezione degli Admin del Forum, all'epoca della nomina di xcdegasp io postavo sul Forum da 5 minuti, anche in questo caso per quel che ti riguarda le parole stanno a 0.

Dimenticavo anche tu se non ricordo male sei Moderatore di un Forum, prova ad applicare lo stesso metro di giudizio su te stesso.

cavolo: hai ragione

io ti mandai un pm a seguito di questo tuo post:

http://www.hwupgrade.it/forum/showpost.php?p=22600601&postcount=43

credevo che questo fosse contenuto in un pm, mi ricordavo male e chiedo venia

nn ti risposi sul forum xchè mi ero appena beccato una sospensione dal nostro caro moderatore e nn mi andava di prenderna un altra per un OT inutile

riguardo la presunta tattica di cadere dalle nuvole, nn c'è stata alcuna tattica: ti ho solo chiesto, visto quel tuo post, se avevi cpt la faccina

la mia faccina nn aveva alcun significato trascendentale: volevo scrivere una cosa su Combofix, un tool che il nostro caro moderatore nn ha mai voluto che si utilizzasse....e che in quel caso, l'utilità mi sembra (se ricordo bene) l'avesse avuta

come ben sai, se posti una cosa ed entro qualke secondo la modifichi, nn compare la classica dicitura "ultima modifica..."

detto questo, quando vidi la tua faccina, capii subito l'accusa subdola di spam che mi facevi ma l'ho voluta metterla sul gioco, senza risponderti seriamente...

poi di fronte al tuo post (#43) mi sono incuriosito e ti chiesi il significato...

cmq credo che con gli OT stiamo esagerando: nn vorrei beccarmi una sospensione x un motivo cosi stupido :D

perdonami, ma nn ho capito nulla di quello che hai scritto :rolleyes: (mi riferisco alla parte iniziale)


:confused:
:mbe: :muro: :muro: :muro: sono proprio cretino io che nn ho cpt questa frase...scusami

se me la vuoi spiegare meglio, anche in pm te ne sarei grato :)

Saluti
i messaggi ci sono e sono integri di contenuti quindi prova magari a rileggerli, non so che altro dirti essendo la lingua italiana quella che è stata usata presumo non sia difficile comprenderla :)


ti ricordo che ti ho inviato un pm a proposito di questo:
http://www.hwupgrade.it/forum/showpost.php?p=22594202&postcount=24

tu mi mandasti un pm per chiedermi se avevo capito la tua faccina:

in quell'occasione ti dissi di si e ne approfittai per dirti:

1. che nn ritenevo che xcdegasp avesse le capacità adatte e le conoscenze necessarie per moderare questa sezione

2 che tu probabilmente eri la persona piu adatta a quel ruolo

scrissi quello xchè tu ritenevi che io ero stato oltremodo polemico: un post inutile (a mio avviso) sapendo tu come la pensavo e lo scrissi
fai una cosa saggia, scrivi a freeman a corsini e agli altri admin in pvt o alla redazione direttamente via email elencando i tuoi dissensi verso la mia persona e così la finisci di scriverlo ogni volta sia in pvt ad altri che su altri lidi che pubblicamente, se cio ti rifiuti di farlo allora fai un favore a tutti di tenertele per te ;)
al prossimo reiterato tuo intervento fuori luogo sarà analizzata collegialmente la pena, che può prevedere anche gravi ripercussioni sul tuo nickname a te ogni decisioone :)

cavolo: hai ragione

io ti mandai un pm a seguito di questo tuo post:

http://www.hwupgrade.it/forum/showpost.php?p=22600601&postcount=43

credevo che questo fosse contenuto in un pm, mi ricordavo male e chiedo venia

nn ti risposi sul forum xchè mi ero appena beccato una sospensione dal nostro caro moderatore e nn mi andava di prenderna un altra per un OT inutile

riguardo la presunta tattica di cadere dalle nuvole, nn c'è stata alcuna tattica: ti ho solo chiesto, visto quel tuo post, se avevi cpt la faccina

la mia faccina nn aveva alcun significato trascendentale: volevo scrivere una cosa su Combofix, un tool che il nostro caro moderatore nn ha mai voluto che si utilizzasse....e che in quel caso, l'utilità mi sembra (se ricordo bene) l'avesse avuta

come ben sai, se posti una cosa ed entro qualke secondo la modifichi, nn compare la classica dicitura "ultima modifica..."

detto questo, quando vidi la tua faccina, capii subito l'accusa subdola di spam che mi facevi ma l'ho voluta metterla sul gioco, senza risponderti seriamente...

poi di fronte al tuo post (#43) mi sono incuriosito e ti chiesi il significato...

cmq credo che con gli OT stiamo esagerando: nn vorrei beccarmi una sospensione x un motivo cosi stupido :D

si.... si....... quando mai :asd: