Olimpo Informatico

[miciotta]

salve, scansione con Superantispyware e
NON trova nulla, mentre Antimalwarebyte
mi trova questo TROJAN:

Malwarebytes' Anti-Malware 1.35
Versione del database: 1919
Windows 5.1.2600 Service Pack 2

31/03/2009 7.35.47
mbam-log-2009-03-31 (07-35-39).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 160532
Tempo trascorso: 1 hour(s), 20 minute(s), 1 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d} (Trojan.BHO) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\mswinsck.ocx (Trojan.BHO) -> No action taken.


questo MSWINSCK.OCX?e? un falso positivo ?

che faccio pare sia un Active X (forse installando update
di Java RE versione 13 ?)


VIRUS TOTAL da infetto in 1 solo antivirus su 40 e-safe !
http://www.virustotal.com/it/analisis/28a62d96ad40d4ffd4ac3504809515fc

mentre nel sito SOFOS:

Troj/IRCBot-OH is a Trojan for the Windows platform.
Troj/IRCBot-OH runs continuously in the background, providing a backdoor server
which allows a remote intruder to gain access and control over the computer via IRC channels.
When Troj/IRCBot-OH is installed the following files are created:
<System>\Mswinsck.ocx
<System>\ffdisk.com
<System>\<random>.exe
The two executable files are also detect as Troj/IRCBot-OH. Mswinsck.ocx is a clean DLL file.
The following registry entry is created to run mcim.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wiinamp
<System>\<random>.exe
The file Mswinsck.ocx is registered as a COM object.

http://www.sophos.com/security/analyses/viruses-and-spyware/trojircbotoh.html

NON si capisce falso positivo o no ?
orami l?ho fatto togliere da ANTIMALWAREBYTES ?.avro?
creato qualche danno ? help

[Riverside]

Quasi certamente è un falso positivo, considerato che si tratta di un file di sistema.
Visto che lo hai rimosso, segui questa procedura:
1) scarica il file da questo link
2) una volta scaricato, segui questo percorso:
> Disco Locale C:
> apri la cartella Windows e cerca la cartella System32
> Apri la cartella System32 ed al suo interno copia il file scaricato

Dopo aver copiato il file:
Start
Esegui
nella finestra di dialogo copia ed incolla questo comando: regsvr32 MSWINSCK.OCX
conferma l'operazione e riavvia il sistema.

[miciotta]

grazie,....

ma ho scoperto che in quarantena c'e sia il
dile che le chiavi quindi ho dato riprisitna
e cerdo li abbia rimessi al loro posto...

ma devo fare io lo stesso questo:

"Start
Esegui
nella finestra di dialogo copia ed incolla questo comando:
regsvr32 MSWINSCK.OCX
conferma l'operazione e riavvia il sistema."


o non servira' e l'avra fatto il Antimalwarebytes ?

che dici ? cosa faccio ? grazieeee

[Riverside]

Se hai eseguito il ripristino dalla quarantena, controlla che il file si trovi nella posizione originaria (ovvero, in System32).