PrevX 2.0. rilevazione SWREG.EXE

[Riverside]

Quote:

Originariamente inviato da deneb87

ma se dopo la disinstallazione, il relativo swreg.exe è stato rimosso dal sistema, significa che prima non era presente o sbaglio??

Sbagli Den: swreg.exe e' un componente di editing del Registro che serve per apportare modifiche al registro di Windows qualora l'impiego dell'editor del registro incorporato in Windows XP sia stato bloccato dalle policy di restrizione (e qui il discorso si allarga al Ripristino dei permessi utente riportandoli allo stato originale).
Quindi, quell'exe, è un file legittimo di sistema e deve essere presente in system32.

[deneb87]

si ma se è un file che DEVE essere in system32, perchè combofix me lo ha cancellato?

[Nuz]

Quote:

Originariamente inviato da Nuz

In effetti te lo segnala perchè disinstallando combofix anche le estensioni tornano ad essere nascoste e quindi il file è diventato swreg.old.exe invece che swreg.exe.old o swreg.old.

Come non detto la spiegazione che mi ero dato non era per niente corretta.

Ho fatto un'altra verifica. Quella relativa al checksum e in effetti i file non sono identici fino all'ultimo dettaglio come dovrebbero.



Il primo e l'ultimo sono quelli "originali" scaricati (in momenti diversi) dalla pagina di SteelWerx, mentre quello in mezzo è quello creato da Combofix.

[eraser]

Quote:

Originariamente inviato da Riverside

In ogni caso, il file rilevato come infetto, lo avevo inviato, nel tardo pomeriggio, ad Eraser: vediamo cosa ci dice lui in merito.

Ragazzi, abbiate pietà Sono uno, solo oggi avrò ricevuto almeno 15 richieste d'assistenza

Con calma rispondo a tutti

[Chill-Out]

Quote:

Originariamente inviato da deneb87

si ma se è un file che DEVE essere in system32, perchè combofix me lo ha cancellato?

ma chi l'ha detto

[deneb87]

Quote:

Originariamente inviato da eraser

Ragazzi, abbiate pietà Sono uno, solo oggi avrò ricevuto almeno 15 richieste d'assistenza

Con calma rispondo a tutti

ricordati del mio dmmbe.exe

Quote:

Originariamente inviato da Chill

ma chi l'ha detto

chi l'ha detto cosa?

[Chill-Out]

Quote:

Originariamente inviato da deneb87

ricordati del mio dmmbe.exe



chi l'ha detto cosa?

questo:
"si ma se è un file che DEVE essere in system32"

[deneb87]

Riverside appena più sopra

qui: http://www.hwupgrade.it/forum/showpo...0&postcount=41

[murack83pa]

neanche io ho swreg.exe, e leggendo in internet ho visto che questo programma è un editor x il registro di windows, come diceva riverside, xò nn è vero che deve esserci x forza, mi sembra di aver capito che è una sorta di tool....no?

[Chill-Out]

Quote:

Originariamente inviato da murack83pa

neanche io ho swreg.exe, e leggendo in internet ho visto che questo programma è un editor x il registro di windows, come diceva riverside, xò nn è vero che deve esserci x forza, mi sembra di aver capito che è una sorta di tool....no?

Esatto e se tieni in cosiderazione che analizzandolo su VirusTotal solo 3 Av rilevano la possibile infezione tra cui Panda che tra l'altro e l'unico dei 3 che consente di fare la scansione online con Nano/Total scan quindi dovremmo avere molti più riscontri di quanti in realtà ne abbiamo.

* senza considerare Prevx

[murack83pa]

quindi in conclusione: combofix crea questo file? e perchè?

[Riverside]

Quote:

Originariamente inviato da deneb87

ricordati del mio dmmbe.exe

Den ma stai ancora battagliando con la questione dmmbe.exe??
Prova a killare il relativo processo ed a rimuovere dmmbe.exe dall'avvio di Windows.

[deneb87]

Quote:

Originariamente inviato da Riverside

Den ma stai ancora battaglianfo con la questione dmmbe.exe??
Prova a killare il relativo processo ed a rimuovere dmmbe.exe dall'avvio di Windows.

il fatto è che non c'è nessun processo e nessuna chiave che lo chiama all'avvio, è solo prevxcsi che lo rileva ma nn si sa dove

@Murack
forse per eliminare alcune chiavi di registro con appunto un editor di registro che avedo un checksum diverso dal solito (vedi post di Nuz) non viene identificato dal trojan/virus e si lascia cancellare

[Chill-Out]

Quote:

Originariamente inviato da deneb87

il fatto è che non c'è nessun processo e nessuna chiave che lo chiama all'avvio, è solo prevxcsi che lo rileva ma nn si sa dove

@Murack
forse per eliminare alcune chiavi di registro con appunto un editor di registro che avedo un checksum diverso dal solito (vedi post di Nuz) non viene identificato dal trojan/virus e si lascia cancellare

Nel thread ti avevo chiesto se potevi ricontrollare ma non ho avuto risposta
http://www.hwupgrade.it/forum/showpo...9&postcount=37
mi riferivo al Registro

[Riverside]

Quote:

Originariamente inviato da murack83pa

neanche io ho swreg.exe ......

Preso dalla curiosità ho appena controllato se è presente anche sul notebook (tenete conto che è pulito, non ho mai usato tool tipo Combofix, ecc.), lo utilizzo, esclusivamente, per ragioni di lavoro, le uniche cose che faccio quando vado in rete, è leggere e gestire la posta e qualche conferenza con Skype): swreg.exe è presente (sistema operativo in uso su entrambe le macchine: Windows XP Professional).
Misteri di Windows??

[deneb87]

Quote:

Originariamente inviato da Chill-Out

Nel thread ti avevo chiesto se potevi ricontrollare ma non ho avuto risposta
http://www.hwupgrade.it/forum/showpo...9&postcount=37
mi riferivo al Registro

scusa nn avevo capito, pensavo al nome del file rilevato da prevx
ora controllo ma non mi pare di aver visto nessun file sospetto

Quote:

(sistema operativo in uso su entrambe le macchine: Windows XP Professional).
Misteri di Windows??

io ho XP Home , ora controllo in un altro pc
edit: no niente swreg.exe

[Nuz]

Quote:

SteelWerX programmed a version of REG.EXE known as SWReg (SteelWerX Reg). But even using SWReg on Windows XP might prove handy, since it also implements a few goodies that are not available with the original. So read about the possibilities of SWReg. If something is not possible with the original Microsoft program it is noted in bold.

SWReg is a complete copy of REG.EXE, so it supports the same options With SWReg you can IMPORT and EXPORT script-files, SAVE and RESTORE hive-files. QUERY the contents of keys or values. LOAD and UNLOAD hives, COPY and COMPARE keys. And DELETE keys or values. Additionaly, you can also MOVE (or rename) Registry keys and manipulate the Access Control Lists (ACL) of Registry keys, and much more...

http://www.xs4all.nl/~fstaal01/swreg-us.html

swreg.exe non è un programma microsoft, basta fare un controllo delle proprietà del file.

[murack83pa]

domani controllerò pure io in un altro pc....

edit: quindi nn è un programma di windows...giusto nuz?

[deneb87]

@nuz
si lo avevo gia letto tutto nel tuo post n.4 per quello insistevo

[Chill-Out]

Filename: swreg.exe
Directory: C:\WINDOWS\system32\

Company Name:
File Version:
File Description: Product Name:
Size (in bytes): 42,496 File Date: 10/30/2005 9:49:02 PM
File Function: File Type: Application
Original Filename: Internal Name:
Legal Copyright: Legal Trademarks:
Product Version: File Comments:
Scanned From OS Version: Microsoft Windows XP Scanned from Service Pack: Service Pack 2

e il mistero si infittisce non è un file di WIN