Emsisoft Anti-Malware 5.0 (A-Squared AntiMalware)

[done75]

Quote:

Originariamente inviato da Jo77

idem, trovati.

anch'io li avevo trovati,ma con l'ultimo aggiornamento hanno fissato il problema

[@Sirio@]

Quote:

Originariamente inviato da done75

anch'io li avevo trovati,ma con l'ultimo aggiornamento hanno fissato il problema

L'ho aggiornato un'ora fa ma niente, anche mettendolo in quarantena continua a rilevarmi Backdoor.Win32.Bifrose.em

[murack83pa]

ciao sirio
io l'ho aggiornato ieri o l'altro ieri e nn mi ha rilevato piu niente
che io sappia, csrss.exe puo essere un virus,lo ha puntualizzato pure riverside,ed effetivamente basta cercare un po in google e si scoprono tanti casi di csrss.exe/virus (bisogna stare attenti a dove si trova questo csrss.exe:quello originale nella cartella c:\windows\system32, almeno in xp)
quindi è molto sospetto che nonostante gli aggiornamenti,asquared ti abbia rilevato ancora csrss.exe come trojan.....oppure sono altri i file?

[oineg]

Si è molto sospetto. Li ha rilevati di nuovo anche a me: anzi nel dettaglio ora sono tre (anche a voi?):
C:\I386\CSRSS.EX_/csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\dllcache\csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\csrss.exe rilevati: Backdoor.Win32.Bifrose.em

Al momento sono in quarantena in attesa di stabilire come stanno le cose: non li ho ancora sottoposti alla scansione di Virustotal, qualcuno lo ha fatto ancora una volta?

[murack83pa]

io ai tempi li avevo subito fatto esaminare da virustotal
mi state facendo preoccupare
piu tardi rifaccio la scansione con asquared

[@Sirio@]

Quote:

Originariamente inviato da murack83pa

ciao sirio
io l'ho aggiornato ieri o l'altro ieri e nn mi ha rilevato piu niente
che io sappia, csrss.exe puo essere un virus,lo ha puntualizzato pure riverside,ed effetivamente basta cercare un po in google e si scoprono tanti casi di csrss.exe/virus (bisogna stare attenti a dove si trova questo csrss.exe:quello originale nella cartella c:\windows\system32, almeno in xp)
quindi è molto sospetto che nonostante gli aggiornamenti,asquared ti abbia rilevato ancora csrss.exe come trojan.....oppure sono altri i file?

Ciao murack,
no, si tratta di csrss.exe che sta proprio in c:\windows\system32.
Ho aggiornato di nuovo poco fa... lo rileva sempre

Quote:

Originariamente inviato da oineg

Si è molto sospetto. Li ha rilevati di nuovo anche a me: anzi nel dettaglio ora sono tre (anche a voi?):
C:\I386\CSRSS.EX_/csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\dllcache\csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\csrss.exe rilevati: Backdoor.Win32.Bifrose.em

Al momento sono in quarantena in attesa di stabilire come stanno le cose: non li ho ancora sottoposti alla scansione di Virustotal, qualcuno lo ha fatto ancora una volta?

A me ne ha trovati 2 la prima volta che feci la scansione il primo su
C:\Windows\system32\csrss.exe

e il secondo su
C:\Windows\system32\dllcache\csrss.exe

messi in quarantena tutti e due, riavviato, ora me ne rileva sempre e solo uno quello su C:\windows\system32\csrss.exe

La scansione su VirusTotal l'ho fatta ieri sera ma non ha trovato niente.

[murack83pa]

io so che l'unico vero processo csrss valido deve trovarsi in system32

si possono trovare altri csrss "residui" in cartelle di aggiornamenti di windows (cartelle nascoste, in system32 e che si riferiscono ad aggiornamenti di windows come sp2: esempio "$NtServicePackUninstall$" , "$NtUninstallWIC$", ecc)

credo,cmq, che bisogna preoccuparsi di questo processo quando tale processo occupa troppa memoria, rendendo particolarmente lento il sistema:in questo caso c'è da preoccuparsi,e fare una bella analisi anti-rootkit

io x si x no, una bella scansione anti-rootikit la farei....

[oineg]

In pratica in a-squared per pensarla diversamente da molti antivirus devono essere fermamente convinti che i files in questione sono sospetti. Diversamente perché continuare a fare questa "sceneggiata" ad ogni scansione?. Il vizietto dei falsi positivi a-squa.. l'ha sempre avuto ma questa volta la cosa è più complessa. Al momento ho buttato tutto in quarantena...

boh...a me a-squared segnala vdownloader come riskware...non riesco a capire cosa ci sia di rischioso in questo programma (che serve a scaricare i video di you tube) che tra l altro ho scaricato io volontariamente facendo prima una verifica sulla casa produttrice e sul programma stesso ...tra parantesi ho scaricato questo programma da mesi ma solo adesso mi viene segnalato come tale...spybot,avg, (superantispyware e ad ware quando li provai) non mi segnalarono mai nulla
su virus total 9/32 lo considerano come riskware ma sono tutti antivirus non eccelsi a parte kaspersky e fsecure (prevx lo rileva sospetto con l euristica)
a questo punto non so se disinstallarlo

[@Sirio@]

Quote:

Originariamente inviato da oineg

In pratica in a-squared per pensarla diversamente da molti antivirus devono essere fermamente convinti che i files in questione sono sospetti. Diversamente perché continuare a fare questa "sceneggiata" ad ogni scansione?. Il vizietto dei falsi positivi a-squa.. l'ha sempre avuto ma questa volta la cosa è più complessa. Al momento ho buttato tutto in quarantena...

E' inutile metterlo in quarantena... se rifai la scansione te lo trova nuovamente.

[@Sirio@]

Quote:

Originariamente inviato da murack83pa

...io x si x no, una bella scansione anti-rootikit la farei....

Ieri ne ho fatta una con AVG antirookit e una con PANDA antirookit... non hanno trovato niente

[@Sirio@]

Quote:

Originariamente inviato da ShoShen

boh...a me a-squared segnala vdownloader come riskware...non riesco a capire cosa ci sia di rischioso in questo programma (che serve a scaricare i video di you tube) che tra l altro ho scaricato io volontariamente facendo prima una verifica sulla casa produttrice e sul programma stesso ...tra parantesi ho scaricato questo programma da mesi ma solo adesso mi viene segnalato come tale...spybot,avg, (superantispyware e ad ware quando li provai) non mi segnalarono mai nulla
su virus total 9/32 lo considerano come riskware ma sono tutti antivirus non eccelsi a parte kaspersky e fsecure (prevx lo rileva sospetto con l euristica)
a questo punto non so se disinstallarlo

oggi vuoi disinstallare tutto.

[murack83pa]

Quote:

Originariamente inviato da murack83pa

bisogna preoccuparsi di questo processo quando tale processo occupa troppa memoria, rendendo particolarmente lento il sistema

come ho scritto sopra,credo che in quel caso siamo sotto attacco rootkit
il fatto che il tuo asquared ti continui a rilevare questo processo un po mi rende perplesso, nn su di te, ma su asquared.....molto strana sta cosa....

[@Sirio@]

Quote:

Originariamente inviato da murack83pa

come ho scritto sopra,credo che in quel caso siamo sotto attacco rootkit
il fatto che il tuo asquared ti continui a rilevare questo processo un po mi rende perplesso, nn su di te, ma su asquared.....molto strana sta cosa....

No murak, è da ieri che tengo le "recchie appizzate"... non c'è nessun processo strano. Utilizzo CPU di csrss.exe 00 RAM 4.868 con picco massimo a 5.356 Kb. Anche per me è un falso positivo. Cmq continuo a tenerle appizzate le recchie.

Quote:

Originariamente inviato da @Sirio@

oggi vuoi disinstallare tutto.

questa è stata divertente lo ammetto.

[murack83pa]

si,sicuramente il tuo è un falso positivo...
fa sempre bene a tenere le "recchie appizzate"....ma di dove sei???
sei mio compaesano?

[@Sirio@]

Romano sono ...mio padre è di Messina.

[commi]

Anche a me nei giorni scorsi aveva segnalato il Backdoor.Win32.Bifrose.em nel file csrss.exe sia in c:\windows\system32 che in c:\windows\system32\dllcache. Dopo gli ultimi aggiornamenti, ad una nuova scansione (sempre con il deep scan) non mi viene rilevato più nulla. Se può essere d'aiuto, segnalo che quando faccio gli aggiornamenti lascio sempre selezionata anche la casella "installa aggiornamenti beta" e che ad oggi le firme risultano essere 984.391. Tra l'altro, è stato aggiornato anche l'engine di a-squared alla versione 3.1.0.2 (che può essere un aggiornamento beta) con il quale, penso, hanno risolto il problema con il file csrss.exe.

[oineg]

Questa mattina non mi rileva più
C:\I386\CSRSS.EX_/csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\dllcache\csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\csrss.exe rilevati: Backdoor.Win32.Bifrose.em

Ieri ho spuntato l'opzione Aggiornamenti Beta. Sarà per questo? Boh.. tra l'altro leggo che questi aggiornamenti non sono ancora testati.

[murack83pa]

io nn scarico aggiornamenti beta e a me csrss nn lo ha piu rilevato.....

ps:sirio, m fa piacere che nelle tue vene scorre sangue siciliano...certo...avrei preferito palermitano, ma va bene lo stesso