PrevX 2.0. rilevazione SWREG.EXE - Pagina 2

deneb87 · 18-02-2008, 20:17

Quote:

Originariamente inviato da Riverside

Domandina semplice semplice: qualcuno di voi si ritrova con una cartella chiamata QooBox, in C: ?

si in quella cartella ci sono i backup di combofix

Nuz · 18-02-2008, 20:17

Si me l'ha creata combofix.

murack83pa · 18-02-2008, 20:30

Quote:

Originariamente inviato da deneb87

si in quella cartella ci sono i backup di combofix

confermo

Nuz · 18-02-2008, 20:36

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:

start->esegui: combofix /u

N.B. verranno reimpostate le impostazioni dell'orologio, reimpostate le opzioni di visualizzazione delle estensioni e di cartelle e file nascosti, e riattivato il Ripristino configurazione di sistema.

**Chill-Out** · 18-02-2008, 20:48

Quote:

Originariamente inviato da Nuz

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:

start->esegui: combofix /u

Esatto, comunque in questo caso si tratta di Combofix

Riverside · 18-02-2008, 20:50

Quote:

Originariamente inviato da Nuz

Ho fatto delle prove sulla VM e solo la versione contenuta in combofix da problemi. Mentre quella "originale" no.
Puoi provare tu stesso sostituendo il file sospetto con quello contenuto sul sito dell'autore:
http://www.xs4all.nl/~fstaal01/downloads/swreg.exe

Mi hai letto nel pensiero Nuz, stavo giusto per provare quella soluzione.
Unica accortezza che prendo, è rinominare in old l'attuale file, e vediamo.

Quote:

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:
start->esegui: combofix /u

Già fatto Nuz, ma la segnalazione è importante: stavo pensando che questa discussione potrebbe tornare utile in futuro, per queli utenti che volessero disinstallare, in maniera corretta, i tool.

deneb87 · 18-02-2008, 20:52

Quote:

Originariamente inviato da Nuz

Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione:

start->esegui: combofix /u

Combofix è stato disinstallato! (e mi ha pure freezato il pc per 5 secondi

)

emh.. dopo averlo usato è comparso un file kmd in C: e mi ha disattivato la visualizzazione dei file nascosti e riattivato il ripristino di sistema

Nuz · 18-02-2008, 21:00

Quote:

Originariamente inviato da Riverside

Già fatto Nuz, ma la segnalazione è importante: stavo pensando che questa discussione potrebbe tornare utile in futuro, per queli utenti che volessero disinstallare, in maniera corretta, i tool.

In effetti il mio scopo era quello. Ormai ti conosco bene per sapere che certe cose non devo essere certo io a dirtele.

**Chill-Out** · 18-02-2008, 21:03

Quote:

Originariamente inviato da Nuz

In effetti il mio scopo era quello. Ormai ti conosco bene per sapere che certe cose non devo essere certo io a dirtele.

e vissero felici e contenti............

ovviamente si scherza

Riverside · 18-02-2008, 21:05

Quote:

Originariamente inviato da Nuz

In effetti il mio scopo era quello. Ormai ti conosco bene per sapere che certe cose non devo essere certo io a dirtele.

Ok socio, vediamo se il giochino risolve la questione:

Nuz · 18-02-2008, 21:08

In effetti te lo segnala perchè disinstallando combofix anche le estensioni tornano ad essere nascoste e quindi il file è diventato swreg.old.exe invece che swreg.exe.old o swreg.old.

deneb87 · 18-02-2008, 21:22

segnalo che dopo aver eseguito il comando di uninstall di combofix, anche il file swreg.exe è stato tolto

Riverside · 18-02-2008, 21:25

Quote:

Originariamente inviato da Nuz

In effetti te lo segnala perchè disinstallando combofix anche le estensioni tornano ad essere nascoste

Problema risolto

● rinominato il file swreg.exe rilevato infetto in old
● copiato in system32 il file swreg.exe originale (vedi il link che hai pubblicato)
● falciato swreg.exe rinominato old con PrevX 2.0
● riavviato il sitema
● PrevX 2.0 ha concluso la successiva fase di rimozione

ed ecco il risultato:

Naturalmente, chi non possiede PrevX licenziato, può eseguire, manualmente, la rimozione del file infetto sostituendolo, poi, con il file originale.

lancetta · 18-02-2008, 21:26

Ciao ragazzi..anche a me aveva incurisito sta cosa del swreg ...non vorrei errare ma forse è un modulo common di compatibilità windows sò solo che me lo sò ritrovato davanti in un log dove non era stato usato combo...ma non ricordi di quale tool che aveva svelato l'arcano......faccio na ricerchina e vedo....

deneb87 · 18-02-2008, 21:30

Quote:

Originariamente inviato da Riverside

Naturalmente, chi non possiede PrevX licenziato, può eseguire, manualmente, la rimozione del file infetto sostituendolo, poi, con il file originale.

non ho capito, hai rinominato il file swreg.exe e subito Prevx lo ha identificato. Poi hai scaricato il file swreg.exe da quell'indirizzo e lo hai messo in system32, falciato quello vecchio.

Quindi in pratica ci stai dicendo che il tool Combofix dopo essere messo in funzione, mette un malware in system32?

leggi il mio post precedente.

Riverside · 18-02-2008, 21:32

Quote:

Originariamente inviato da lancetta

Ciao ragazzi..anche a me aveva incurisito sta cosa del swreg ...

Ciao Nà, ti stavamo aspettando

e visto che ci stavamo annoiando, nell'attesa abbiamo messo in piedi questa piccola discussione

Riverside · 18-02-2008, 21:38

Quote:

Originariamente inviato da deneb87

non ho capito, hai rinominato il file swreg.exe e subito Prevx lo ha identificato. Poi hai scaricato il file swreg.exe da quell'indirizzo e lo hai messo in system32, falciato quello vecchio

Esatto Deneb, ho rinominato il file considerato infetto ed ho copiato il file originale nella cartella system32 ...... tutto il resto è spiegato sopra.

Quote:

Quindi in pratica ci stai dicendo che il tool Combofix dopo essere messo in funzione, mette un malware in system32?

Non ho detto questo: ma è evidente che apporta una modifica al file originale e PrevX lo rileva come infetto.
In ogni caso, il file rilevato come infetto, lo avevo inviato, nel tardo pomeriggio, ad Eraser: vediamo cosa ci dice lui in merito.

deneb87 · 18-02-2008, 21:40

ma se dopo la disinstallazione, il relativo swreg.exe è stato rimosso dal sistema, significa che prima non era presente o sbaglio??

ho provato sia con prevxCSI sia con un cerca e non ho trovato nulla (dopo aver disinstallato combofix)

lancetta · 18-02-2008, 21:45

come non detto...anzi ho detto na cazzata...il file che avevo visto in uno start up list ...non era quello

...vabbè.....

**Chill-Out** · 18-02-2008, 21:49

Quote:

non era stato usato combo...ma non ricordi di quale tool

anche SystemScan

18-02-2008, 20:17	#22
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Si me l'ha creata combofix. __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.

18-02-2008, 20:36	#24
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Per rimuovere tutte le cartelle e i file di combofix, ovvero procedere alla disinstallazione: start->esegui: combofix /u N.B. verranno reimpostate le impostazioni dell'orologio, reimpostate le opzioni di visualizzazione delle estensioni e di cartelle e file nascosti, e riattivato il Ripristino configurazione di sistema. __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No. Ultima modifica di Nuz : 18-02-2008 alle 21:29.

18-02-2008, 21:08	#31
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	In effetti te lo segnala perchè disinstallando combofix anche le estensioni tornano ad essere nascoste e quindi il file è diventato swreg.old.exe invece che swreg.exe.old o swreg.old. __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No. Ultima modifica di Nuz : 18-02-2008 alle 21:11.

18-02-2008, 21:26	#34
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	Ciao ragazzi..anche a me aveva incurisito sta cosa del swreg ...non vorrei errare ma forse è un modulo common di compatibilità windows sò solo che me lo sò ritrovato davanti in un log dove non era stato usato combo...ma non ricordi di quale tool che aveva svelato l'arcano......faccio na ricerchina e vedo.... __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

18-02-2008, 21:45	#39
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	come non detto...anzi ho detto na cazzata...il file che avevo visto in uno start up list ...non era quello ...vabbè..... __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

18-02-2008, 21:22	#32
deneb87 Senior Member Iscritto dal: Dec 2006 Città: Cagliari Messaggi: 682	segnalo che dopo aver eseguito il comando di uninstall di combofix, anche il file swreg.exe è stato tolto

18-02-2008, 21:40	#38
deneb87 Senior Member Iscritto dal: Dec 2006 Città: Cagliari Messaggi: 682	ma se dopo la disinstallazione, il relativo swreg.exe è stato rimosso dal sistema, significa che prima non era presente o sbaglio?? ho provato sia con prevxCSI sia con un cerca e non ho trovato nulla (dopo aver disinstallato combofix)

Strumenti
Mostra una versione stampabile Invia questa pagina per email