| Autore |
Discussione |
|
|
argon70cv
Utente Medio
 |
 Inserito il - 02/09/2010 : 01:48:22
|
Da sempre vengono aperte, su questo e su altri forum, discussioni del tipo "Quale antivirus usare?".
Dove ognuno dice la sua: tutto e il contrario di tutto. Ciascuno degli antivirus citati viene definito sia ottimo ed efficace, che pessimo ed incapace, a seconda di chi parla.
Anzi, no: si dovrebbe dire a seconda del computer sul quale l'antivirus viene utilizzato, della versione del Sistema Operativo, dei programmi installati, ecc. ecc.
E si, perchè, dati 2 PC identici da un punto di vista hardware, con lo stesso S.O., per il fatto di stesso di avere installati programmi diversi, di aver visitato siti Internet diversi, di aver ricevuto interventi di "manutenzione" software diversi, anche qualora installino la stessa versione dello stesso antivirus, i risultati delle scansioni molto spesso saranno non solo diversi, ma contradditori.
Perchè questo preambolo? Da molto, troppo tempo usavo McAfee, ed ormai ero stufo della sua invadenza (e della sua capacità di invadere ogni angolo del sistema operativo).
Pensate che ho installato anche "Spybot - Search & Destroy" e "Lavasoft Ad-Aware". Indovinate un pò. Ad-Aware ha una funzione "Files protection", che in pratica non potevo attivare in quanto il programma diceva (giustamente) che c'era già installato un antivirus. Ma avrei preferito un messaggio che dicesse che i due tipi di software potevano interagire negativamente, lasciando comunque a me la scelta.
Scadendomi la licenza annuale di McAfee, l'ho rinnovata come ogni anno; giunto al momento di installare l'aggiornamento, il maledetto McAfee, dopo avermi sciroppato tutto il download dei nuovi file, la rimozione della vecchia installazione, e l'esecuzione della nuova, mi regalava un maledetto messaggio che mi avvertiva che l'installazione non era andata a buon fine per colpa di Spybot ed AdAware!!!
Allora li ho disinstallati, e ricominciato l'aggiornamento di McAfee. Indovinate come è andata? Download dei nuovi file, rimozione della vecchia installazione, esecuzione della nuova, e nuovamente il messaggio che l'installazione non era andata a buon fine!!!**###
Perché? Mah... E per di più lasciandomi senza McAfee.
Reinstallati Spybot ed AdAware, quest'ultimo nuovamente mi avvertiva di non poter attivare "Files protection" per lo stesso motivo di prima.
Effettivamente, come potei verificare effettuando sia una ricerca di "voci" McAfee nel Registro, che nell'elenco dei processi generato da "Autoruns" (http://technet.microsoft.com/it-it/sysinternals/bb963902.aspx), vedevo - come temevo - che McAfee aveva lasciato numerose tracce in giro. Un tentativo di eliminarle non mi consentiva comunque di "mettere a tacere" AdAware.
Ho deciso allora di installare un altro antivirus. Dopo una giornata di ricerche su Internet di pagine con prove comparative complete effettuate da siti o riviste specializzate, non dai produttori, ho finito col scegliere "NOD32" di ESET, versione trial da 30 giorni.
Installato, riavviato il PC, NOD32 si fa subito vivo notificandomi la presenza nel settore MBR di 2 istanze del "cavallo di troia" Win32/Mebroot.K nell'MBR (Master Boot Record). Avvertendomi anche, al tentativo di "curarlo", che non è in grado di rimuovere un tale tipo di oggetto!!@@@
Allora ho scritto al supporto tecnico chiedendo lumi. Il giorno dopo ricevevo questa risposta dal "Software Analyst" della Future Time s.r.l., rappresentante italiana di ESET. E' il caso di citarla tutta, per capire il resto del discorso.
1) provate ad utilizzare un tool di rimozione gratuito, le invio il link per il download (salvatelo sul Desktop):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Seguite attentamente questi passaggi:
- IMPORTANTE: Disattivate Antivirus e Firewall
- Se usate XP , doppio click su Combofix.exe
- Se usate Vista , tx destro su combofix "esegui come amministratore"
- Verra visualizzato l'avviso di editore sconosciuto,cliccate su esegui
- Si aprirà una finestra blu....Attendere....
- Dopo qualche attimo apparirà l'avviso che declina l'autore da ogni problema legato ad una errata utilizzazione del tool. Cliccate su SI
- Attendere...combofix prepara il suo avvio ...
- Riceverete l'avviso che la console non é installata, cliccate su NO
- A questo punto combofix crea un punto di ripristino e comincerà l'analisi
- Attendere.... NON usate il pc
- Un avviso vi segnalerà la fine dell'operazione e dopo qualche attimo apparirà il log con i dettagli dello scan.
- Il log verrà memorizzato in C:\Combofix.txt
2) cliccate su questo link :
http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe e salvate il file sul desktop (come avete fatto con Combofix).
- Andate sul desktop e fate doppio click sul file "mbam-setup.exe": partirà un'installazione guidata, vada sempre avanti senza cambiare nessuna impostazione, fino a FINE.
- Si aprirà una finestra intitolata "Malwarebytes antimalware": selezionate "effettua una scansione completa" e cliccate sul pulsante SCANSIONA.
3) Riattivate nuovamente l'antivirus
4) Inviateci il file combofix.txt
Un poco perplesso, mi rimettevo su Internet cercando tutto lo scibile sui Mebroot. Ed ho trovato, alla fine, varie risposte, tra cui una - definita efficace - era costituita da "FixMebroot.exe" di Symantec: http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixMebroot.exe
Provato, ecco il risultato: assenza di Trojan e simili! Notare che la negatività era confermata dalla riesecuzione del tool medesimo in "safe mode" (Modalità provvisoria), come suggerito da Symantec!
Invece, un'altra soluzione, anch'essa vantata come efficace e diversa da quella suggerita dal supporto tecnico di ESET, si rivelava utile a risolvermi il problema!!! La scoprirete subito qui sotto.
Ho comunque deciso di rispondere, per cortesia, al supporto tecnico, citando la mia esperienza di "rimozione". E vi riporto il mio messaggio, che vi farà capire tutti i necessari dettagli.
Anzitutto grazie per la risposta. Me la sono letta per bene, dopo di che ho deciso di fare una ricerca approfondita in Internet su questi "Mebroot trojan".
Ho trovato molte utili informazioni; una di queste "BleepingComputer.com -> Combofix Index -> A guide and tutorial on using ComboFix" http://www.bleepingcomputer.com/combofix/how-to-use-combofix corrisponde in pratica a quanto Lei mi ha suggerito.
Mi ha colpito l'apparente "macchinosità" di tutto il metodo, ed notato che Combofix, per quanto in alcuni casi possa essere autosufficente ("It is possible that ComboFix, even on its first run, may have fixed the problems you are having."), generalmente funzioni unicamente come diagnostico, e richieda altri software per l'effettiva rimozione. Come da Lei indicato: "clicchi su questo link: http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe e salvi il file sul desktop"...
Sempre cercando su Internet, ho notato questa discussione:
"Eliminare cavallo di troia Win32/Mebroot.K. residente nell' MBR" http://forum.swzone.it/sicurezza/103809-eliminare-cavallo-di-troia-win32-mebroot-k-residente-nell-mbr.html.
L'autore segnala: "Ho formattato da poco il pc, avvio NOD32 che al controllo memoria notifica la presenza nel settore MBR di 2 istanze del cavallo di troia Win32/Mebroot.K. Ho provato a disinfettarlo ma niente da fare, si ripresenta sempre".
Come nel mio caso!
Nel corso della discussione vengono via via suggeriti "GMER", "FixMebroot.exe", ed altri.
Nella seconda pagina il moderatore suggerisce "Ciao, scarica cureit e fai una scansione completa". (Per la precisione, intendeva "Dr.Web® CureIt!®").
L'autore della discussione risponde "Eseguita scansione che mi ha trovato un file infetto, l'ho eliminato e ho riavviato." e "Nod32 non mi segnala più quel cavallo di troia... problema risolto!".
Vista la maggiore semplicità - e la dichiarata efficacia, almeno in quel caso - di questo tipo di intervento, ho deciso di provarlo preliminarmente, ed ho
scaricato Dr.Web® CureIt! da http://www.freedrweb.com/download%20cureit/.
Dopo averlo avviato ed eseguita la scansione, Dr.Web® CureIt! mi ha segnalato l'effettiva presenza di 2 istanze del malware già segnalato da NOD32.
Ho seguito le istruzioni per eliminarle, ho riavviato il PC e, tornato a Windows, NOD32 non mi ha più segnalato il problema!
Mi sento pertanto in dovere di ringraziarla in ogni caso, anche se non ho realmente seguito la procedura suggerita, in quanto, in ogni caso, mi dato una buona... ispirazione.
Ancora grazie e cordiali saluti.
Vi lascio alle vostre eventuali considerazioni sul caso...
|
|
|
Homepage 1: www.train-simulator.net
Homepage 2: www.marucchi.it
|
|
Regione  Piemonte ~
Prov.: Asti ~
Città: Asti ~
Messaggi: 343 ~
Membro dal: 27/08/2010 ~
Ultima visita: 24/12/2019
|
|
|
Alexpress
Amministratore
|
Inserito il - 02/09/2010 : 23:26:42
|
Ciao Massimo e ben trovato.
la tua avventura mi ricorda tanto una situazione analoga accadutami qualche anno fa.
Norton lo usavo regolarmente, finchè non mi ha fatto lo stesso scherzo che capitato a te e non funzionava nè lui nè gli altri.
Il NOD32 lo uso per lavoro in quanto impostomi dal mio consorzio, ma non è che mi faccia impazzire di gioia, per i miei occhi è un antivirus "onesto" ma nulla più.
Per casa uso la versione gratuita (onesto per onesto almeno è gratis e non fa danni) di AVG e per ora non va male, in seguito vedremo.
Comunque hai ragionssima sul fatto che ogni macchina fa storia a sè e ciò che gira una può non girare affatto su un'altra.
|
|
|
Alexpress -"Così muore una democrazia, sotto uno scrosciare di applausi"-
 
 
  |
|
Regione  Emilia Romagna ~
Prov.: Bologna ~
Città: Bologna ~
Messaggi: 315 ~
Membro dal: 29/06/2010 ~
Ultima visita: 28/03/2021
|
 |
|
|
vitti01
Utente Medio
|
Inserito il - 16/11/2010 : 09:47:10
|
sono d' accordo con entrambi grazie per averci segnalato questa tua brutta avventura ora staremo tutti più attenti io metteri questa discussione in rilievo per i neofiti e tutte le persone poco esperte ciao
|
|
|
Vittorio, lo dice il nome: sono vittorioso :)
PERITO INFORMATICO CREATORE ACTIVITY,EX TESTER.
my pc: Case aerocool gt advance black gaming, hdd 1tb wd blue 7200rpm sata 3, Ssd Kingston hyperx fury120gb, cpu intel i7-4790k 4,60 ghz, Cooler lepa aquachanger 120 red, scheda video palit nvidia geforce gtx 970 4 gb ddr5, scheda madre msì z97gaming3, Ram 16gb 2100mhz ddr3 corsair vengeance pro, dvd rw dl LG, windows 10 64bit. |
|
Regione  Campania ~
Prov.: Napoli ~
Città: Casalnuovo ~
Messaggi: 177 ~
Membro dal: 02/11/2010 ~
Ultima visita: 09/01/2021
|
|
|
| |
Discussione |
|
|
|
Tutti i Forum
Antivirus: falsi positivi e falsi negativi.
Qui c'è:
