Kaspersky
Question

Malwarebytes rileva PUP.Optional.Conduit PUP.Optional.VBates Adware.VBates

  • 23 August 2019
  • 2 replies
  • 309 views

Buongiorno, come da titolo, vorrei porre alla vostra attenzione un "problema" che mi pare di avere riscontrato sul mio PC.

Premessa:
utilizzo il PC (W7 sp1) in questione per lavoro e svago (la sera lo uso per gioco: Assetto Corsa, Assetto Corsa Competizione, Starcraft 2). Qualche settimana fa, mentre giocavo, ho notato a tratti un pesante rallentamento (sebbene la scheda video non faccia schifo Nvidia GeForce GTX 1050Ti ed il processore pure Inter Core i7 4770 con 16 GB di ram). Il rallentamento l'ho ovviamente riscontrato nelle fasi "più concitate" anche in un videogioco settato ad impostazioni medio/basse (Starcraft 2) che mai mi aveva dato problemi. Allertato da ciò (non volevo rimanere a piedi dato che lo uso per lavoro) ho cercato sul web la possibile causa. In sostanza ho scaricato programmi per monitorare le performance del PC (MSI Afterburner, HW Monitor) e ho notato temperature spesso molto alte della CPU (arrivano a toccare anche 100°), mentre la scheda video non va mai in sovraccarico. Propendo sia dovuto alla pasta termica in via di decadimento (PC del 2014 con dissipatore CPU standard, sempre tenuto pulito da polvere ma mai cambiato pasta termica). A brevissimo farò cambiare il dissipatore con uno aftermarket più performante (perché tenere a lungo il processore ad elevate temperature può danneggiarlo). Però nei vari forum ho letto che potrebbe anche essere dovuto a qualche malware che consuma prestazioni (anche se, ad onor del vero, ho temperature alte ma sfruttamento processore mai sopra al 50%), dunque lo escluderei. Più volte si suggeriva di fare una scansione con Malwarebytes.

Il problema:
Ho dunque fatto una scansione con Malwarebytes e mi ha trovato 18 minacce di cui svariati PUP.Optional.Conduit e PUP.Optional.VBates ed un Adaware: Adware.VBates.
Ho letto che potrebbero essere stati installati in associazione con altri software ed installano estensioni e plugins del browser. In Chrome (che non uso) ho solo estensioni di default e quella del KIS (Kaspersky Protection); In FF (che uso) ho Video DownloadHelper (installata da me tempo fa) oltre a Kaspersky Protection. In IE (che non uso) ho sostanzialmente il Kaspersky Protection.
Ho messo tutto in quarantena con Malwarebytes. Vi chiedo dunque alcune cose (da ignorante quale sono in materia). Perché KIS (19.0.0.1088 g) non mi ha rilevato questi “oggetti” (sebbene io abbia sempre avuto licenza regolare dal primo utilizzo del PC)? KIS analizza il registro (alcuni oggetti sono infatti chiavi di registro) o no? Malwarebytes e KIS sono compatibili? Ho letto (sul forum Kaspersky) che Malwarebytes non sarebbe compatibile con la versione free di Kaspersky. Dato che vorrei tenermi solo il KIS, se ora decidessi di disinstallare Malwarebytes (avendo oggetti in quarantena), cosa succede? Gli oggetti vengono ripristinati o vengono eliminati?
Ho provato a verificare la presenza dei suddetti file “nocivi” avviando in modalità provvisoria con rete (file), ma non li trovo nel percorso indicato, allora ipotizzo siano stati messi in quarantena (visto che ho abilitato la visualizzazione dei files nascosti); le chiavi di registro (regedit) invece si vedono tutte, anche in modalità normale. Mi ha sorpreso notare che in modalità provvisoria KIS non si avvia (Malwarebytes invece sì) e ho dovuto avviarlo manualmente poi però, sempre a sorpresa, noto che sono disabilitati (e non abilitabili! anche manualmente) sia antivirus file che antivirus web (l'iconcina dello scudo rimane grigia). E’ un comportamento corretto? Infine ho cambiato le impostazioni di antivirus file del KIS in avanzate imponendo di esaminare tutti i file; metodo di scansione: analisi euristica media; deselezionando il flag in ottimizzazione della scansione: esamina solo i file nuovi e modificati; scansione dei file compositi tutti i tre flag selezionati (e nelle impostazioni aggiuntive ho tolto il flag da ambedue le ozioni); modalità scansione: smart, tecnologie di scansione ambedue i flag selezionati ed infine scanner di script selezionata. Ha senso che io abbia modificato queste impostazioni oppure non serve a nulla ed appesantisco solo il carico di lavoro del KIS?

Scusate se mi sono dilungato.

Grazie e saluti,
Alberto

2 replies

Userlevel 7
Badge +5
Perché KIS (19.0.0.1088 g) non mi ha rilevato questi “oggetti”

Ciao @Alberto_73 / Alberto,
Benvenuto!
Diversi provider AV usano spesso riferimenti / firme differenti.
Primo: carica il rapporto Malwarebytes (come file di testo) in modo che possiamo verificarlo.
Risponderò a tutte le tue domande dopo aver visualizzato il rapporto Malwarebytes.
Secondo: Malwarebytes può essere mantenuto installato - non impostato per essere eseguito continuamente o automaticamente, modificare l'impostazione su "Manuale".
Per favore, rispondi?
Grazie🙏🏽
Buongiorno e grazie a te @FLOOD .

Qui è la prima volta che scrivo, ma nel vecchio forum avevo avuto modo di scrivere altre volte (ultima tra tutte per i certificati di FF), e ho sempre trovato grande competenza e gentilezza in chi mi ha risposto. Comunque grazie per il benvenuto.

Come da tua richiesta, allego file txt del report. Noterai che ho messo 16 di 18 elementi in quarantena. Due li ho lasciati perchè fanno riferimento (oltre alle chiavi "malevoli") anche alle chiavi del Kaspersky Protection di FF (sono "percorsi" che contengono chiavi, non le vere e proprie chiavi di registro) che altrimenti non mi comparirebbe tra le estensioni del browser FF. Infatti in un primo tentativo avevo messo in quarantena tutto, ma poi mi ero accorto della mancanza, allora sono andato dentro al registro per capire quale fosse il motivo e da li la scoperta.

Per venire poi alla tua seconda indicazione, ho impostato la scansione di Malwarebytes come manuale, altrimenti mi partiva in automatico all'avvio del PC, assieme ad una sorta di scansione del KIS (notavo l'iconcina del KIS lampeggiare come quando fa qualche attività) e controllando nel task vedevo che consumava un sacco di RAM (oltre 500000 KB) impegnando la CPU per oltre il 30% (cosa che KIS non fa praticamente mai) e plafonando la temperatura della CPU a 100°C. Insomma, sembrava andassero un po’ in conflitto. Disabilitato l'avvio della scansione di Malwarebytes all'accensione del PC il problema suddetto è svanito. Monitorando il task, quando l'icona KIS lampeggia, la RAM impegnata oscilla attorno a 100000-500000 KB e l'utilizzo CPU 8-13%, con temperatura CPU attorno ai 45-65°C. Segnalo che la temperatura del processore a riposo, cioè senza programmi avviati, si aggira attorno ai 39-42°. Da quel che noto, l'elevato consumo di RAM dipende dall'antivirus file del KIS (quando ovviamente lavora, cioè l’iconcina lampeggia, ad esempio quando fa una scansione). Ho fatto (un paio di volte in altrettanti riavvi PC) questa prova: interrotto la protezione file del KIS per qualche secondo per poi riattivarla e, dopo tale azione, ho notato che lo sfruttamento CPU passa a valori modestissimi (1-3%) contro i precedenti 8-13% e la RAM non viene mai impiegata sopra i 100000 KB e quando l’iconcina non lampeggia sta in genere sotto i 50000 KB.
Stavo anche pensando di disattivare l’opzione di avvio automatico di Malwarebytes all’avvio del PC ma mi domando: se lo facessi, la quarantena funzionerebbe lo stesso?

So di abusare della tua disponibilità, ma ieri, ho anche lanciato Adwcleaner (sempre di Malwarebytes Inc) e ho riscontrato altri PUP (Programmi Potenzialmente Indesiderati). Allego dunque anche il relativo file di testo. Che io sappia di Lavasoft non ho installato nulla (ho controllato sul PC) poi ho cercato sul web “lavasoft” + “web companion” e ho trovato che è pure collegato a Bing ma nel mio PC l’ho rimosso dai possibili motori di ricerca. Probabilmente si è installato in bundle con altro software (ovviamente senza mio permesso o, comunque, senza che io mi accorgessi di una eventuale spunta per evitarne l’installazione…in tal caso ben nascosta).

Spero da avere chiarito a sufficienza la situazione.

Grazie a ta per la gentilezza!
Alberto

Reply / Ответить