Pagina 1 di 1
verifica scan log
Inviato: mar nov 04, 2014 5:44 pm
da giuanin
Ciao a tutti 
Potreste indicarmi come si effettua una verifica su ciò che una scansione rileva come infezione -al di là del software utilizzato per la scansione-?
Come posso verificare se quanto riportato effettivamente è un'infezione o falso positivo? ho copiato dallo scan log il percorso rienuto infetto e l'ho incollato in virus total ma non trova nulla!? stesso discorso su google.
il pc è un acer e-1 510 3204g50 mnkk.
allego una scansione effettuata con eset rescue cd.
http://www.wikifortio.com/780586/Eset%2 ... _21-30.txt
Grazie
Re: verifica scan log
Inviato: mar nov 04, 2014 5:57 pm
da crazy.cat
giuanin ha scritto:Potreste indicarmi come si effettua una verifica su ciò che una scansione rileva come infezione ?
Ci vuole occhio ed esperienza, principalmente, nel sapere individuare al volo i principali problemi.
Nel tuo caso (nell'interminabile file di log) mi sembra di aver visto questi. Niente che una buona passata di ccleaner non dovrebbe cancellare.
/media/LocalDisk5/Users/renate/AppData/Local/Google/Chrome/User Data/Default/Cache/f_006f7e » NSIS » Script.nsi - Win32/DownWare.L potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/3D4Q7AV1/BiTool[1].dll - Win32/Somoto.B potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/P12N4RE0/20140830117282[1].exe » NSIS » Script.nsi - Win32/InstallMonetizer.BC potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/P12N4RE0/20140830117282[1].exe » NSIS » - Win32/InstallMonetizer.BC potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/P12N4RE0/20140830117282[1].exe » NSIS » - Win32/Packed.VMDetector.H potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/P12N4RE0/setup[1].exe » NSIS » Mon244094632.exe » 7ZIP » - archive damaged
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/RAYCCKU0/2014081177282[1].exe » NSIS » Script.nsi - Win32/InstallMonetizer.BC potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/RAYCCKU0/2014081177282[1].exe » NSIS » - Win32/InstallMonetizer.BC potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/RAYCCKU0/2014081177282[1].exe » NSIS » - Win32/Packed.VMDetector.H potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/RAYCCKU0/BrightcovePlayer[1].swf » CWS » file.swf - unpack error
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/RAYCCKU0/BrightcovePlayer[2].swf » CWS » file.swf - unpack error
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/SBB26DBD/WajamChecker[1].exe » NSIS » wajam_validate.exe - Win32/Wajam.F potentially unwanted application
/media/LocalDisk5/Users/renate/AppData/Local/Microsoft/Windows/INetCache/IE/XD8NZ30B/WajamChecker[1].exe » NSIS » wajam_validate.exe - Win32/Wajam.F potentially unwanted application
Come posso verificare se quanto riportato effettivamente è un'infezione o falso positivo?
Ne google, ne virustotal sono in grado di analizzare un file di testo del genere. Potresti solo analizzare i singoli nomi dei file sospetti per capire se sono dei veri problemi.
allego una scansione effettuata con eset rescue cd.
Se eset è il tuo antivirus installato nel pc, ti consiglierei di fare la scansione con qualche altro cd di boot, come quello di kaspersky https://turbolab.it/158 proprio per avere un diverso parere dal tuo antivirus.
Re: verifica scan log
Inviato: mar nov 04, 2014 8:18 pm
da hashcat
Complessivamente tutte le "minacce" individuate sono relative a PUP o adware:
Google Chrome (cache):
- f_006f7e (Win32/DownWare.L)
Internet Explorer (cache):
- 2014081177282[1].exe (Win32/InstallMonetizer.BC)
- 20140830117282[1].exe (Win32/InstallMonetizer.BC)
- BiTool[1].dll (Win32/Somoto.B)
- setup[1].exe (PUP Sumoto / BetterInstaller)
- WajamChecker[1].exe (Win32/Wajam.F)
File temporanei (utente):
- bitool.dll (Win32/Somoto.B)
- nsm7FA.tmp (PUP Sumoto / BetterInstaller)
Desktop (dentro sotto-cartelle):
- SoftonicDownloader_per_getdataback-for-ntfs.exe (Win32/SoftonicDownloader.G)
- SoftonicDownloader_per_puresync.exe (Win32/SoftonicDownloader.G)
Re: verifica scan log
Inviato: mar nov 04, 2014 8:30 pm
da [Claudio]
giuanin ha scritto:Come posso verificare se quanto riportato effettivamente è un'infezione ....
La questione è nei termini evidenziati da Hash:
hashcat ha scritto:Complessivamente tutte le "minacce" individuate sono relative a PUP o adware
Quindo, procedi in questo modo:
A) scarica ADWCLEANER.
1) avvia il programma e clicca sul tasto SEARCH;
2) al termine della scansione, clicca sul tasto ELIMINA;
3) salva il REPORT [Sx] rilasciato dopo l’eliminazione e allegalo.
B) scarica HITMANPRO - esegui il software, clicca su IMPOSTAZIONI, e imposta come da immagine:
Poi prosegui in questo modo:
1) attiva la licenza: IMPOSTAZIONI - scheda LICENZA E clicca su ATTIVA LICENZA GRATUITA;
2) non modificare le impostazioni di default;
3) avvia la scansione (nota: richiede la connessione attiva);
4) al termine, ELIMINA tutto ciò che verrà rilevato;
5) salva il REPORT rilasciato e allegalo.
Re: verifica scan log
Inviato: mar nov 04, 2014 9:28 pm
da giuanin
intanto GRAZIE per le risposte.
è evidente che la conoscenza e l'esperienza permettono di individuare e intervenire...
mi piacerebbe pian pianino apprendere quegli elementi che consentono di avere un minimo di conoscenza tale da riconoscere e affrontare problemi di normale amministrazione.
per cui, chiedo se mi potete indicare una guida o altro che mi permetta di arrivare al mio scopo.
prima di procedere alla fase suggeritami, se non fosse troppo di... 
, intanto vorrei anche chiedere:
- nel mio file di log va considerato soltanto ciò che è segnalato come 'potentially unwanted application'?!
- come posso cercare su internet riguardo un 'eventuale minaccia segnalata in un file di log? come ho descritto nel post di apertura, ma probabilmente mi sono espresso non in modo chiaro, ho copiato dallo scan log uno per volta il percorso ritenuto infetto e l'ho incollato in virus total ma non trova nulla!? stesso discorso su google.
Re: verifica scan log
Inviato: mar nov 04, 2014 9:42 pm
da gioia271965
Purtroppo guide complete che ti permettano di capire fino in fondo i vari software di protezione non ne esistono. Diciamo che devi essere un pò autodidatta nell'uso di questi programmi, ma qui trovi sempre qualcuno che ti da risposte abbastanza complete. Tra i programmi enunciati aggiungerei anche malwarebytes che da questo link puoi scaricare in versione gratuita.
http://it.malwarebytes.org/
Esegui una scansione completa dopo aver aggiornato il suo database e rimuovi tutto quello che trova.
Inoltre mi permetto di consigliarti di cambiare la versione di Eset Antivirus se lo hai installato sul tuo pc. Meglio la versione smart security che ha al suo interno altre opzioni di protezione e un buon firewall integrato. Questi software insieme a adw cleaner e a hitman pro, sono un buon insieme di programmi di protezione da tenere sempre...
Re: verifica scan log
Inviato: mar nov 04, 2014 9:46 pm
da hashcat
giuanin ha scritto:nel mio file di log va considerato soltanto ciò che è segnalato come 'potentially unwanted application'?!
No, ma la scansione di *quasi tutti gli altri file ha riportato errori quali "error reading", "error opening": a livello effettivo è come se non fossero stati analizzati
giuanin ha scritto:come posso cercare su internet riguardo un 'eventuale minaccia segnalata in un file di log? come ho descritto nel post di apertura, ma probabilmente mi sono espresso non in modo chiaro, ho copiato dallo scan log uno per volta il percorso ritenuto infetto e l'ho incollato in virus total ma non trova nulla!? stesso discorso su google.
Solitamente ti basta cercare il nome del file infetto^ (o variazioni sul tema) ed eventualmente il suo percorso. Nel tuo specifico caso il percorso completo, cercato così come appare nel log, è inutile in quanto non rispetta la struttura "classica" di quello di Windows poiché relativo alla scansione da boot cd.
^Nel tuo caso il nome di ogni file indesiderato (anche se di scarsa pericolosità) è riportato nel mio precedente post.
Re: verifica scan log
Inviato: mar nov 04, 2014 10:13 pm
da giuanin
se ho ben capito, devo ricercare su internet solo la parte terminale del percorso indicato su log?!
es. :
/media/LocalDisk5/Users/renate/AppData/Local/Google/Chrome/User Data/Default/Cache/f_006f7e » NSIS » Script.nsi - Win32/DownWare.L potentially unwanted application
devo cercare: Win32/DownWare
intanto, avevo provato a individuare le posizione di questi elementi seguendo il percorso, ma giunto a windows INetCache non è presente!?! l'ho individuato utilizzando 'cerca' ma non c'è nulla nella cartella.
Ciò ha attinenza con quanto hai detto : il percorso completo, cercato così come appare nel log, è inutile in quanto non rispetta la struttura "classica" di quello di Windows poiché relativo alla scansione da boot cd!?
Re: verifica scan log
Inviato: mar nov 04, 2014 10:15 pm
da giuanin
ok Gioia271965.
Re: verifica scan log
Inviato: mar nov 04, 2014 10:35 pm
da hashcat
giuanin ha scritto:se ho ben capito, devo ricercare su internet solo la parte terminale del percorso indicato su log?!
es. :
/media/LocalDisk5/Users/renate/AppData/Local/Google/Chrome/User Data/Default/Cache/f_006f7e » NSIS » Script.nsi - Win32/DownWare.L potentially unwanted application
devo cercare: Win32/DownWare
No, intendo i file riportati in nero con grassetto di due miei post fa (esempio: bitool.dll).
giuanin ha scritto:intanto, avevo provato a individuare le posizione di questi elementi seguendo il percorso, ma giunto a windows INetCache non è presente!?! l'ho individuato utilizzando 'cerca' ma non c'è nulla nella cartella.
INetCache è una cartella nascosta.
giuanin ha scritto:Ciò ha attinenza con quanto hai detto : il percorso completo, cercato così come appare nel log, è inutile in quanto non rispetta la struttura "classica" di quello di Windows poiché relativo alla scansione da boot cd!?
No. Il percorso indicato nel log, se non opportunamente riscritto, è di scarsa utilità principalmente per due ragioni:
- Come root non utilizza la classica partizione C (C:\) bensì /media/%partizione_numero% (in questo specifico caso /media/LocalDisk5)
- I percorsi sono riportati con le slash (/), come da tipica notazione in ambiente Unix-like (in questo caso Linux), invece delle backslash (\), utilizzate in ambiente MS-DOS e Windows
Re: verifica scan log
Inviato: mar nov 04, 2014 10:51 pm
da giuanin
OK OK OK
GRAZIE per la lezione
credo di aver cominciato a capire qualcosinainainaina, anche se l'argomento è sicuramente assai complesso.
ma un po' alla volta si può di apprendere...
un'ultima cosa, non c'è modo dunque di reperire una sorta di guida che tratti a grandi linee l'argomento?
Re: verifica scan log
Inviato: mer nov 05, 2014 4:29 am
da crazy.cat
giuanin ha scritto:non c'è modo dunque di reperire una sorta di guida che tratti a grandi linee l'argomento?
Qualcosa di serio e fatto bene, direi di no. (almeno non ne conosco)
Anche perché è difficile fare una cosa generica che si adatti a tutti i programmi che fanno dei log, più che dire cerca il nome del file e controlla che sia nel percorso giusto non è che potresti dire.
Visto la natura dei problemi che si vedevano nel tuo log, prova a vedere questo articolo https://turbolab.it/303 per fare prevenzione.
Re: verifica scan log
Inviato: mer nov 05, 2014 8:20 am
da [Claudio]
giuanin ha scritto:.... per cui, chiedo se mi potete indicare una guida o altro che mi permetta di arrivare al mio scopo.
Non esistono guide; in rete trovi diverse informazioni, ma raramente (anche se c'è) qualcosa di davvero esaustivo.
Fossi in te, per ora mi limiterei a risolvere il problema (la procedura è quella suggerita nel mio precedente intervento) e mi preoccuperei di porre attenzione a cosa installi (perché, principalmente - ma non solo - quel caos è provocato da disattenzione rispetto a quello che si installa).
gioia271965 ha scritto:Inoltre mi permetto di consigliarti di cambiare la versione di Eset Antivirus se lo hai installato sul tuo pc. Meglio la versione smart security che ha al suo interno altre opzioni di protezione e un buon firewall integrato.
Non cambierebbe nulla: questa è una delle tante dimostrazioni che gli antivirus servono a poco (se non a infondere un falso senso di sicurezza); inoltre si ritroverebbe con moduli aggiuntivi e un firewall integrato nel software da gestire .... e, se considero il "livello utente", dubito sia in grado di farlo e si complicherebbero, ulteriormente, le cose.
Re: verifica scan log
Inviato: gio nov 06, 2014 11:57 am
da hashcat
giuanin ha scritto:un'ultima cosa, non c'è modo dunque di reperire una sorta di guida che tratti a grandi linee l'argomento?
Non saprei. Per comprendere il funzionamento e saper interpretare i report della maggior parte dei software anti-malware non è necessario "consultare" particolari guide.
Esistono tuttavia documentazioni che trattano il funzionamento di uno specifico strumento; ad esempio OTL (completissima). Per Altri strumenti, come ComboFix, la sintassi dei comandi di scripting è tenuta volutamente all'oscuro ai più per "complicare la vita" a coloro che scrivono malware.
Sono disponibili molte guide per i più noti; ad esempio HijackThis.
Infine alcuni riportano la documentazione sul proprio sito ufficiale; ad esempio RogueKiller (QUI e QUI) ed il vecchio The Avenger (QUI).
P.S.: Ritengo che il modo migliore per imparare sia quello di sperimentare "sul campo" e consultare le discussioni che trattano di questi argomenti nei forum specializzati.
Re: verifica scan log
Inviato: gio nov 06, 2014 6:07 pm
da giuanin
a tutti
dunque, dal momento che mi avete detto che le infezioni che ho sul pc non sono rilevanti, proprio per provare di capirci qualcosina un po' per volta, magari sbagliando (ma è dettato dall'inesperienza), ho eseguito la scansione ma non la pulizia con i programmi che mi avete indicato: adwcleaner - hitman pro - malwarebyte. e questo per poter poi raffrontare i file log dei vari tool.
le rilevazioni fatte da questi tool sono pressoché le medesime, con eset che ha individuato qualcosina in più rispetto a hitman pro e malwarebyte, ma poi c'è da capire se effettivamente siano rilevazioni valide... Adwcleaner, invece, ha rilevato tutt'altro, ovvero c'è qualcosa soltanto nel tab registro. per quanto riguarda Kaspersky 10 non funzia sul mio pc, sia in modalità uefi che bios legacy.
ho avuto modo di leggere la differenza nel riportare i dati tra i vari tool, così come mi avevate fatto presente.
e poi ho potuto verificare la differenza nei tempi di esecuzione di una scansione. a tal riguardo, devo dire che sono rimasto un po' sorpreso che malwarebyte abbia impiegato ore 4,30 circa contro i min 10 circa di hitman pro, per rivelare pressapoco le stesse cose. mentre eset ha impiegato 2 ore circa.
ora, guarderò quanto indicatomi nell'ultimo post da hashcat 
p.s. potreste dirmi come bisogna fare per riportare una porzione di messaggio così come voi avete fatto sopra : es. "giuanin ha scritto:...
Re: verifica scan log
Inviato: gio nov 06, 2014 7:02 pm
da crazy.cat
giuanin ha scritto:p.s. potreste dirmi come bisogna fare per riportare una porzione di messaggio così come voi avete fatto sopra : es. "giuanin ha scritto:...
Il pulsante Cita e selezioni solo il pezzo della discussione che vuoi citare.
Hitman è un super velocista, ma trova tante cose, malwarebytes prende le cose con più calma, ma le trova anche lui.
Re: verifica scan log
Inviato: ven nov 07, 2014 11:17 am
da [Claudio]
giuanin ha scritto: .....dunque, dal momento che mi avete detto che le infezioni che ho sul pc non sono rilevanti .....
Non so chi lo abbia detto .... ma non è cosi; fossi in te, prima mi preoccuperei di risolvere il problema (rimuovendo quella roba dal computer - e tieni conto che ho l'impressione che la cosa non finirà lì) e solo successivamente, pensare al resto (come evitare di ricascarci).
Poi .... il computer è tuo .... quindi fai un pò come credi.
Re: verifica scan log
Inviato: ven nov 07, 2014 12:59 pm
da crazy.cat
giuanin ha scritto:è evidente che ho inteso male
Non sono dei trojan, o dei rootkit, attivi nel sistema, ma come avevo detto all'inizio erano da ripulire.
Esiste di molto peggio.
potreste indicarmi anche la procedura per creare i link come li ha presentati nel post hashcat : es. QUI, OTL , etc
Il pulsante URL presente nella discussione.
Re: verifica scan log
Inviato: ven nov 07, 2014 2:10 pm
da [Claudio]
giuanin ha scritto:..... provvedo alla pulizia e posterò i risultati qualora ci fossero complicanze ....
Veramente sarebbero da pubblicare in tutti i casi .... anche senza complicanze; serve a verificare la situazione generale.
Poi, si dovrà comunque procedere ad ulteriori verifiche ..... a meno che tu non voglia risolvere il problema alla radice, formattando il computer.
P.S.: giusto per saperlo (e regolarsi di conseguenza): che sistema operativo è in uso su quel computer?.
crazy.cat ha scritto:Esiste di molto peggio ......
Ma ..... volendo ( ) .... anche di molto meglio.
Re: verifica scan log
Inviato: ven nov 07, 2014 3:53 pm
da giuanin
crazy.cat ha scritto:Veramente sarebbero da pubblicare in tutti i casi .... anche senza complicanze; serve a verificare la situazione generale.
vi ringrazio, allora, non appena mi sarà possibile effettuare la pulizia invierò i risultati 
crazy.cat ha scritto: che sistema operativo è in uso su quel computer?
w8,1crazy.cat ha scritto:
Il pulsante URL presente nella discussione.
permettetemi di fare una prova linkando l'indirizzo diquesta pagina
Re: verifica scan log
Inviato: ven nov 07, 2014 4:13 pm
da giuanin
i risultati sono evidenti...
ho effettuato diversi tentativi tutti andati a male. se potete dirmi i passaggi bene altrimenti fa lo stesso GRAZIE
Re: verifica scan log
Inviato: ven nov 07, 2014 6:01 pm
da [Claudio]
giuanin ha scritto:i risultati sono evidenti.....
Semplifichiamo: carica il REPORT su WIKISEND e pubblica il FORUMLINK proposto.
Re: verifica scan log
Inviato: ven nov 07, 2014 7:06 pm
da hashcat
La sintassi del tag URL è:
Esempio: https://turbolab.it, https://turbolab.it/forum/ (con percorso).
Per trasformare in link una porzione di testo senza riportare l'url completo la sintassi è quella che segue:
Codice: Seleziona tutto
[url=http://nomesito.tld/eventuale_percorso]Bla Bla Bla[/url]
Re: verifica scan log
Inviato: dom nov 09, 2014 3:10 pm
da giuanin
ciao
ho effettuato la pulizia del pc. ho utilizzato in primo luogo adwcleaner, poi eset online scanner e poi malwarebyte.
posto i relativi risultati
qui
: