PrevX 2.0. rilevazione SWREG.EXE

[deneb87]

Quote:

Originariamente inviato da Chill-Out

e il mistero si infittisce

l'unica e sola spiegazione è che vari tool utilizzino diverse versioni di questo editor di registro per apportare le modifica atte a rimuovere i malware

indi per cui, dovrebbe essere un falso positivo di prevxcsi

[Chill-Out]

Quote:

Originariamente inviato da deneb87

l'unica e sola spiegazione è che vari tool utilizzino diverse versioni di questo editor di registro per apportare le modifica atte a rimuovere i malware

indi per cui, dovrebbe essere un falso positivo di prevxcsi

http://www.hwupgrade.it/forum/showpo...8&postcount=40

tanto per citarne un'altro

[murack83pa]

ho scaricato swreg dal link di nuz e mi indica questo:

Descrizione: Freeware implementation of REG.EXE

Copyright: Copyright © Frank Staal 1999-2008

Nome prodotto: SteelWerX Registry Editor

Società: SteelWerX

Versione file: 3.0.0.0

[murack83pa]

Quote:

Originariamente inviato da Chill-Out

http://www.hwupgrade.it/forum/showpo...8&postcount=40

tanto per citarne un'altro

ho letto un paio di discussioni su forum diversi e ho letto che anche systemscan crea questo file, che viene rilevato come virus (da panda oppure da prevx csi)

cmq, io me ne vo a letto...buona notte a tutti

[Riverside]

Intanto, leggete anche qui







I casi sono due: o sono io che mi ritrovo file in più o voi che ve ne ritrovate in meno

[Chill-Out]

Quote:

I casi sono due: o sono io che mi ritrovo file in più o voi che ve ne ritrovate in meno

la 1°

[Riverside]

Quote:

Originariamente inviato da Chill-Out

la 1°

Ne sei certo, socio??

Quote:

Forse non tutti sanno che in Windows Xp esiste un tool chiamato reg.exe con il quale e’ possibile eseguire operazioni sul registro di sistema direttamente da riga di comando. Questa utility permette,infatti, di aggiungere, modificare esportare, visualizzare, salvare le informazioni relative alle sottochiavi del Registro di sistema e i valori delle voci del Registro di sistema e puo’ rivelarsi molto utile.

Non lo dico io che quella roba è implementata in Windows XP.
In ogni caso, rispetto al mio post iniziale, PrevX (ho appena terminato di eseguire una nuova scansione), non rileva più nulla.

[Chill-Out]

Quote:

Originariamente inviato da Riverside

Ne sei certo, socio??

Non lo dico io che quella roba è implementata in Windows XP.
In ogni caso, rispetto al mio post iniziale, PrevX (ho appena terminato di eseguire una nuova scansione), non rileva più nulla.

reg.exe è un discorso
Author:
Microsoft

Part of:
Microsoft Wnidows Operating System

Common Path(s):
%system%

swreg.exe è un altro

[Riverside]

Quote:

Originariamente inviato da Chill-Out

reg.exe è un discorso ...... swreg.exe è un altro

E fin li, mi pare ci siamo arrivati tutti.
Tra l'altro swreg.exe non si trova neppure su Process Library.
In ogni caso, dopo averlo sostituito, come ho detto prima, PrevX non lo rileva più come infetto.
Certo che la cosa è davvero curiosa.

[deneb87]

Quote:

Originariamente inviato da Riverside

E fin li, mi pare ci siamo arrivati tutti.
Tra l'altro swreg.exe non si trova neppure su Process Library.
In ogni caso, dopo averlo sostituito, come ho detto prima, PrevX non lo rileva più come infetto.
Certo che la cosa è davvero curiosa.

bhe forse non è poi tanto curiosa, lo hai sostituito con un file diverso (http://www.hwupgrade.it/forum/showpo...&postcount=43), dunque prevx non lo rileva per forza

[IG0R]

Quote:

Originariamente inviato da Riverside

Quindi, quell'exe, è un file legittimo di sistema e deve essere presente in system32.

Quote:

Originariamente inviato da Nuz

swreg.exe non è un programma microsoft, basta fare un controllo delle proprietà del file.

Quote:

Originariamente inviato da Chill-Out

non è un file di WIN

Quote:

Originariamente inviato da Riverside

I casi sono due: o sono io che mi ritrovo file in più o voi che ve ne ritrovate in meno

Quote:

Originariamente inviato da Riverside

E fin li, mi pare ci siamo arrivati tutti.
Certo che la cosa è davvero curiosa.

come no

Quote:

Originariamente inviato da IG0R

rieccomi,
combofix o sistemscan nella migliore delle ipotesi
vundo nella peggiore
brutta la posizione del file

post numero 3,caduto prematuramente nel dimenticatoio

[IG0R]

Quote:

Originariamente inviato da deneb87

bhe forse non è poi tanto curiosa, lo hai sostituito con un file diverso (http://www.hwupgrade.it/forum/showpo...&postcount=43), dunque prevx non lo rileva per forza

proprio quando gli altri fanno qualcosa per risalire alla verità lui sovverte le carte in tavola e sopprime la questione
qui un esempio: http://www.hwupgrade.it/forum/showthread.php?t=1680527

[IG0R]

riflessione personale:

evidentemente l'essermi scontrato con l'utente riverside mi ha penalizzato,mi penalizza e mi penalizzerà in ogni mio post,non venendo considerato o quotato nei vari topic,questo magari perche non "appartengo" ai cosiddetti "soci" a cui lui faceva riferimento in un altro post.Ho visto da parte da parte dell'utente riverside una sorta di manipolazione dei topic da lui aperti,nel senso che alla fine si deve arrivare per forza a cio che dice lui,quindi se uno esce fuori dai binari,lui lo rimette subito in carreggiata,perche il finale è già deciso.Mi riferisco soprattutto ai suoi quote "personalizzati"(almeno nel mio caso),cioè quota solo la parte dove lui puo intervenire uscendosene sempre pulito,oppure cambia letteralmente discorso(vedesi il file reg.exe qui oppure nell'altro topic la versione "free di ad-aware" da me mai pronunziata).Su un forum bisogna accettare anche chi suona della musica diversa dalla solita,almeno io lo spirito della community lo intendo cosi.Qui mi è sembrato che i due topic aperti da riverside siano "dedicati" a una ristretta cerchia di utenti che a volte pur di non scontrarsi con riverside non intervengono(mi riferisco alle parti finali dei topic quando lui esegue le manipolazioni).Nel terzo post di questo thread ho parlato di ipotesi,lui ha quotato solo la parte del vundo per attaccarmi,del resto(combofix e sistemscan)non gliene è fregato nulla,anche se poi se ne è parlato diffusamente di quei due tool.Ho visto della gente molto preparata in questa sezione,complimenti,mi dispiace solo che io non possa farne parte visto il mio esordio.Ho deciso di non postare piu almeno per un po nella sezione infetti,ma continuerò a seguirvi per poter apprendere qualcosa di interessante.Buon lavoro a tutti ragazzi

[deneb87]

Quote:

Originariamente inviato da IG0R

Nel terzo post di questo thread ho parlato di ipotesi,lui ha quotato solo la parte del vundo per attaccarmi,del resto(combofix e sistemscan)non gliene è fregato nulla,anche se poi se ne è parlato diffusamente di quei due tool.

a proposito di riflessioni personali:
il fatto è che se tu ti fermavi alla sola considerazione su combofix, quindi tralasciando l'eventualità che il pc di Riserside potesse essere infetto da malware, sicuramente Riserside non la avrebbe presa come un "ti punto il dito contro" simile al thread precedente

che poi non vedo il motivo di tanta voglia di cercare un appiglio per scoprire un infezione nel suo pc, solo perchè lui aiuta tutti e forse intaccarne la sua veridicità? dubito che possa mai succedere

pace

[Riverside]

Quote:

Originariamente inviato da deneb87

bhe forse non è poi tanto curiosa, lo hai sostituito con un file diverso

Den, lo ho sostituito, come suggerito da Nuz, con il file originale; è quello che viene installato da Combofix che è diverso e viene rilevato, da PrevX, come infetto.
Tra l'altro, se non ho inteso male, anche qui, Nuz aveva già fatto una ulteriore precisazione :guarda lo screenshot pubblicato nel suo post
Ora sono in ufficio: anche qui ho un P.C. con XP Professional e, anche su questo P.C., mi ritrovo swreg.exe in system32.
A questo punto mi viene da pensare che quel file possa essere generato da qualche software che utilizzo su tutte e tre le macchine.
Il fatto è che, a parte il Sistema Operativo (XP Pro su tutte e tre le macchine), Nod32, Office 2003, Skype e GMail Notifier, il resto dei programmi che utilizzo su ogni singolo P.C., varia da macchina a macchina.
Tieni, inoltre conto che, sia sul Notebook che sul P.C. dell’ufficio, non ho mai installato Combofix e mai provato i tool di rimozione che di norma utilizziamo.
Ora (facciamo conto che il problema sia mio, quindi lo risolverò da me, nel caso) torniamo a valutare la questione per la parte utente sul Forum (che era la ragione principale per cui ho aperto la discussione).
Tu hai sottolineato che disinstallando Combofix, viene rimosso anche quell’exe.
Presumo tu abbia eseguito un ulteriore verifica dopo la disinstallazione eseguendo una nuova scansione con PrevX CSI e che dall’esame del log generato, l’exe ritenuto infetto non venga più rilevato.
Mi confermi questo?.
Se fosse così, sembrerebbe (in attesa di ricevere qualche notizia in più da parte Eraser) che si tratti di rilevazione di un falso positivo; a quel punto, se dai log pubblicati si evidenziasse, potremmo, tranquillamente, non prenderlo in considerazione.
Ciò che resta inspiegabile (anche se, tornando allo screen pubblicato da Nuz, i due exe sono, certamente, diversi) è:
1) la ragione per la quale, PrevX (sia CSI che 2.0) rileva quell’exe (derivante dalla installazione di Combofix), come infetto mentre (vedi il mio caso), se l’exe viene sostituito con quello originale (come ho fatto io), non lo rileva più.
2) la ragione per la quale, comunque, swreg.exe, io me lo ritrovi regolarmente installato su tutti e tre i P.C. che utilizzo.

[murack83pa]

*

[Riverside]

Off Topic: Ero indeciso sul risponderti o meno, ma visto che mi tiri per la manica:

Quote:

Originariamente inviato da IG0R

evidentemente l'essermi scontrato con l'utente riverside mi ha penalizzato,mi penalizza e mi penalizzerà in ogni mio post non venendo considerato o quotato nei vari topic,questo magari perche non "appartengo" ai cosiddetti "soci" a cui lui faceva riferimento in un altro post.

Siamo (i Soci) la casta di HU, non lo sapevi?

Quote:

Ho visto da parte da parte dell'utente riverside una sorta di manipolazione dei topic da lui aperti

Credo tu soffra di allucinazioni: addirittura sarei un manipolatore?

Di norma non apro post (intervengo in quelli che aprono altri, quasi esclusivamente in questa sottosezione) e quando lo faccio, parto, sempre da un presupposto specifico: allargare la discussione su un tema che può interessare gli utenti della unica sottosezione che frequento sul forum); ed è quello che è accaduto, anche, nel corso di questa discussione, che ho aperto successivamente al fatto che, ieri, improvvisamente e senza alcuna ragione specifica, PrevX 2.0, mi ha rilevato, come infetto, swreg.exe, e mi sono accorto che era lo stesso exe indicato in diversi log allegati dagli utenti ai quali facciamo eseguire scansioni con PrevX CSI (Deneb, per esempio, era uno di questi).
Tieni, inoltre conto che avevo precisato, di aver disinstallato Combofix, quindi, seguendo il ragionamento fatto da Deneb in suo post, l’exe in questione, teoricamente, non avrebbe dovuto essere più presente sul mio P.C. -.
Per il resto, come in ogni discussione, anche in questa, i pareri posso essere discordanti e diversi.

Quote:

Ho visto della gente molto preparata in questa sezione,complimenti, mi dispiace solo che io non possa farne parte visto il mio esordio.

Peccato, nessuno (neppure il Manipolatore ), qui dentro, ha intenzione di isolarti o non farti partecipare: quindi, il problema, se tale fosse, è solo tuo.

Off Topic chiuso: La prossima volta, se ritieni di aver qualcosa da chiarire con me, sei vivamente invitato a fare uso del PM

[Nuz]

Ho fatto altre prove e il tool swreg viene utilizzato anche da MSNfix, SmitfraudFix, e Fixwareout (oltre che da combofix e systemscan).
Nessuno di questi tre lascia swreg.exe nella cartella system32 dopo l'uso.

[Riverside]

Quote:

Originariamente inviato da Nuz

Ho fatto altre prove e il tool swreg viene utilizzato anche da MSNfix, SmitfraudFix, e Fixwareout (oltre che da combofix e systemscan).
Nessuno di questi tre lascia swreg.exe nella cartella system32 dopo l'uso.

Almeno Nuz, ad un paio di conclusioni siamo giunti:
1) PrevX CSI (almeno fino a quando, Eraser, una volta stabilito che l'exe non è infetto, faccia in maniera che PrevX non lo rilevi più come tale) va fatto eseguire prima di far installare e far girare eventuali tool di rimozione ;
2) sarebbe, poi, utile, a questo punto, creare un apposito post, come Guida alla corretta disinstallazione dei diversi tool.

Una cosa ancora, Nuz: visto che anche MSNFix pare utilizzi swreg.exe, puoi, per favore, controllare se viene utilizzato, pure, da LiveKill Clean Messenger (il tool lo trovi nella Guida di rimozione virus da MSN Messenger)?

[GOLDRAKES]

@MURACK
Ricordi msnfix?