PDA

Visualizza versione completa : antimalware veri e presunti


renzo1165
27-03-2008, 15.13.20
ciao,
seguendo la recente discussione aperta da ottobre-rosso in merito a spybot ed ad-aware ho visto i consigli, sempre interessanti ed apprezzati, in merito a prodotti antispyware alternativi ritenuti di migliore efficacia ed ho voluto provarli.
Ho iniziato con malwarebytes che mi ha subito individuato rogue.winfixer invisibile a tutti gli altri prodotti (microsoft antimalware, spyware terminator, prevxcsi) e per l'eliminazione del quale lo stesso produttore fornisce uno strumento apposito.
Poichè ho letto di prodotti distribuiti per eliminazione del malware che in realtà essi stessi installano, chiederei agli esperti di confermare la reale efficacia di malwarebytes.
grazie da
renzo

crazy.cat
27-03-2008, 15.38.44
Ho appena finito di provare malwarebytes su un sistema pesantemente infetto, ed è stato dannatamente bravo.
Programmi veri anti-malware sono 4-5, Malwarebytes, superantispyware, A2 squared, spybot e spywareterminator, rimanendo sui freeware leggeri e affidabili.
Dopo ci sono una marea di rouge software di cui tantissimi dell'autore di Winfixer, Winantivirus, toolsicuro e tanti altri simili.

renzo1165
27-03-2008, 15.58.52
crazy.cat grazie per la rapidità,
quindi ritieni che l'individuazione di "rogue.winfixer" da parte di Malwarebytes corrisponda alla reale presenza di un malware nel mio computer?
Te lo chiedo, insistendo appena un pò, in quanto nessuno degli altri prodotti che ho provato vede nulla, e sul pc in oggetto
-ho XP sempre aggiornato
-antivirus, firewall, antispyware sempre aggiornati
-firefox sempre aggiornato
-non uso peer to peer
-non visito siti a rischio
ciao e grazie
renzo

crazy.cat
27-03-2008, 16.08.00
Dove ti rileva il problema?
File?
Chiavi di registro?

renzo1165
27-03-2008, 16.13.03
registro

crazy.cat
27-03-2008, 19.28.40
Quali chiavi?
Ha trovato solo quel problema durante la scansione o anche altre cose?

leofelix
28-03-2008, 14.59.23
Oltre ad ottemperare alla richiesta di crazy.cat, prova a vedere se col gratuito RogueRemover free

http://www.malwarebytes.org/rogueremover.php

sempre dello stesso sviluppatore del MalwareBytes' AntiMalware, ma più idoneo per questo genere di "applicazioni fuorvianti" ti viene rilevato egualmente il winfixer.
Anche il MalwareBytes' Antimalware come tutti le altre soluzioni di sicurezza potrebbe dare falsi positivi, ma Marcin (lo sviluppatore) nel suo Forum (in lingua inglese) cura anche questi aspetti, caso per caso, e rilascia eventuali aggiornamenti per correggere qualsiasi falso positivo o bug:)

http://www.malwarebytes.org/forums/

ciao:)

renzo1165
28-03-2008, 16.16.25
-crazy.cat
unico problema nella chiave HKEY_CLASSES_ROOT\CLSID\...
esplorando il registro in quella locazione ho potuto trovare solo la
default icon : shell32.dll,-135
-leofelix
ho visto il programma di cui parli...il problema è nato proprio dal fatto che ho temuto si trattasse di un falso programma antispyware in quanto solo malwarebytes vede il malware di cui, solo, propone la rimozione.
grazie ad entrambi per l'attenzione
renzo

leofelix
28-03-2008, 16.57.40
-leofelix
ho visto il programma di cui parli...il problema è nato proprio dal fatto che ho temuto si trattasse di un falso programma antispyware in quanto solo malwarebytes vede il malware di cui, solo, propone la rimozione.
grazie ad entrambi per l'attenzione
renzo

Prego renzo1165,
potresti postare il file di log del MalwareBytes' AntiMalware che ti individua la "applicazione fuorviante" nota come "winfixer" cortesemente?

Il MBAM 1.0.9 ti offre in ogni caso la possibilità di escludere dalle ricerche alcuni file e chiavi di registro.
Potrebbe essere un falso positivo, hai aggiornato il programma al database più recente per vedere se viene segnalata ancora la rogue utility?

Altra domanda: mentre navighi Firefox ti porta contro la tua volontà verso siti che non ti aspetti o non vuoi visitare?

Per sicurezza io scaricherei e installerei la versione gratuita di SUPERAntiSpyware 4.0 da

http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe

Un ottimo programma, secondo me, sebbene lento nella scansione completa anche in macchine recenti con dotazione HW relativamente potente

PS in ogni caso per evitare di incappare in simili sozzerie navigando anche con Firefox sarebbe opportuno installare quanto meno anche le estensioni "no script" ( https://addons.mozilla.org/it/firefox/addon/722 ) e "adblock plus" ( https://addons.mozilla.org/it/firefox/addon/1865 )

:)

renzo1165
28-03-2008, 18.03.55
leofelix mi leggi nel pensiero :)
il pc di cui parlo è uno di quelli da lavoro, sotto Lan cablata+router, no script + adblock installati...è per questo che mi è sembrato strano avere elementi infetti, e mi è balenato il sospetto di un'azione tendente a farmi scaricare un finto antimalware.
Ti ribadisco che lo stesso "prev csi" ,che mi sembra creato allo scopo, non ha individuato rogue di sorta.
Ti ringrazio ancora per l'attenzione e ti allego il risultato della scansione. Non ho iniziato ancora alcuna attività di "bonifica" in quanto vorrei capire il problema prima di eliminarlo.
ciao da renzo

Malwarebytes' Anti-Malware 1.09
Versione del database: 552

Tipo di scansione: Scansione rapida
Elementi scansionati: 28915
Tempo trascorso: 4 minute(s), 31 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{c4ee31f3-4768-11d2-be5c-00a0c9a83da1} (Rogue.WinFixer) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

renzo1165
28-03-2008, 18.29.50
leofelix,
ho seguito il suggerimento, ho fatto girare superantispyware ed anche questo non ha trovato nulla...resta il dubbio:
-falso positivo, o
-tentativo di farmi scaricare un prodotto dubbio?
qualche idea su come analizzare il problema più nel dettaglio?
grazie
renzo

leofelix
28-03-2008, 21.27.29
aggiorna il programma al più recente database sono quasi certo che si tratta di un falso positivo;)

Sergio Neddi
29-03-2008, 00.45.45
Falso positivo anche secondo me.

renzo1165
29-03-2008, 10.53.03
falso positivo anche per me :)
eseguito aggiornamento e sparito file infetto.
Ho visto nel forum Malwarebytes molti topic con questo tipo di problema, tutti risolti con gli aggiornamenti, e devo dire che ho anche ricevuto una buona impressione di serietà tanto da fugare gli iniziali sospetti e pensare ad una imminente introduzione del prodotto negli altri pc.
Grazie per i consigli...e un'ultima cosa:
la scarsa considerazione di cui mi è sembrato godere, invece, in questo forum il prodotto microsoft, è realmente supportata da eventi "spiacevoli" sicuramente attribuibili a problemi di individuazione del malware?
buona giornata
renzo

crazy.cat
29-03-2008, 11.52.00
Nell'ultimo test che ho fatto in questi giorni, dove ho conosciuto e apprezzato Malwarebytes, Windows defender mi ha dato i risultati che vedi nella foto qui sotto
http://img208.imageshack.us/img208/7494/37456999vd3.th.jpg (http://img208.imageshack.us/my.php?image=37456999vd3.jpg)

Praticamente un mucchio di errori nel tentare di rimuovere qualsiasi malware che si era integrato nelle shell di qualsiasi cosa.

Questo era l'aspetto dopo la pulizia con malwarebytes
http://img150.imageshack.us/img150/633/malware1nj2.th.jpg (http://img150.imageshack.us/my.php?image=malware1nj2.jpg)

Questo era il browser dopo windows defender
http://img150.imageshack.us/img150/9171/defender2sr1.th.jpg (http://img150.imageshack.us/my.php?image=defender2sr1.jpg)

Nessun antispyware è perfetto, secondo me bisogna sempre averne due buoni nel pc, però tra i due la differenza di rendimento è abissale.

renzo1165
29-03-2008, 15.58.13
crazy.cat il confronto è chiaro,
però, almeno nella versione free di Malwarebytes, i due prodotti differiscono per la possibilità, da parte di quello microsoft, della protezione in tempo reale. A questo punto il confronto si sposta tra defender e spyware terminator... anche tra questi la differenza è così abissale?

leofelix, mi hai chiesto,
"Altra domanda: mentre navighi Firefox ti porta contro la tua volontà verso siti che non ti aspetti o non vuoi visitare?"
perdonami per non averti risposto subito,
il comportamento del tutto regolare del browser è stato un motivo in più di preoccupazione, ma ora mi sono ricreduto sulla efficacia del prodotto Malwarebytes e vi ringrazio per avermelo "presentato" :act:
grazie
renzo

crazy.cat
29-03-2008, 17.41.04
anche tra questi la differenza è così abissale?
E' discreta anche questa, e poi se un software non è in grado di ripulire un problema non credo che si in grado di bloccarlo in anticipo.
Protezione in tempo reale Spywareterminator, oppure arrovax shield e Winpatrol, tutto il resto è non mi piace.

leolas
30-03-2008, 04.23.24
strano che prevx CSI non abbia rilevato niente:
http://virusinfo.prevx.com/viruscenter.asp?GRP=4862300014

leofelix
31-03-2008, 01.00.32
leofelix, mi hai chiesto,
"Altra domanda: mentre navighi Firefox ti porta contro la tua volontà verso siti che non ti aspetti o non vuoi visitare?"
perdonami per non averti risposto subito,
il comportamento del tutto regolare del browser è stato un motivo in più di preoccupazione, ma ora mi sono ricreduto sulla efficacia del prodotto Malwarebytes e vi ringrazio per avermelo "presentato" :act:
grazie
renzo

prego di nulla, del resto temo che debbano ancora svilupparlo il software perfetto... e anche l'essere umano perfetto..
e forse è meglio così, per certi aspetti

AMIGA
31-03-2008, 08.36.12
prego di nulla, del resto temo che debbano ancora svilupparlo il software perfetto... e anche l'essere umano perfetto..
e forse è meglio così, per certi aspetti
A proposito di falsi positivi leggete queste citazioni su Spywarestop:

http://www.2-spyware.com/remove-spywarestop.html

http://www.2-viruses.com/remove-spywarestop

Cosa ne pensate ?

leofelix
31-03-2008, 17.47.40
traggo da http://www.spywarewarrior.com/rogue_anti-spyware.htm#products

"Spyware-Stop: false positives work as goad to purchase; inadequate scan reporting; same app as Brave Sentry, DIARemover, MalwareAlarm, Mr.AntiSpy, PestCapture, PestTrap, PestWiper, SpyDemolisher, SpyMarshal, SpySheriff, SpyTrooper, & SpywareNo [A: 1-16-06 / U: 1-16-06]"


Quindi cosa ne penso? Di aprire gli occhi e starne alla larga ovviamente