PDA

Visualizza versione completa : antivir rivela un virus nella cartella di Avast...


ottobre_rosso
28-08-2008, 19.58.17
Ciao ragazzi,

ho installato antivir 8.1.0.331 e fatto una scansione completa: sul 2º hd, sul quale ho installato anche lì XP Pro sp2, mi ha trovato un virus.
Questo è il report:

F:\Programmi\Alwil Software\Avast4\DATA\moved\A0003327.exe.vir
[DETECTION] Is the TR/Packed.8720 Trojan

La cosa strana è che la cartella moved contenente il file A0003327.exe.vir riporta come data e orario proprio quella in cui ho fatto la scansione, come se fosse stata creata in quel momento. E' un falso errore? posso cancellarla?

cascavel
28-08-2008, 20.11.13
non ho capito , scusami, hai due antivirus residenti? per toglierti il dubbio su quel file invialo qui http://www.virustotal.com/it/ per un controllo: premi sfoglia e cerca il file sul tuo pc.

ottobre_rosso
28-08-2008, 20.27.12
no: Antivir ce l'ho su un hd, Avast sull'altro (mai tenere due antivirus sullo stesso S.O.)

Comunque.. ho fatto analizzare il file come mi hai chiesto e questo è il risultato:

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.8.29.0 2008.08.28 Win-Trojan/Packer.74240.B
AntiVir 7.8.1.23 2008.08.28 TR/Packed.8720
Authentium 5.1.0.4 2008.08.28 -
Avast 4.8.1195.0 2008.08.28 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.28 -
BitDefender 7.2 2008.08.28 Trojan.Packed.8720
CAT-QuickHeal 9.50 2008.08.26 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.28 -
DrWeb 4.44.0.09170 2008.08.28 -
eSafe 7.0.17.0 2008.08.27 Suspicious File
eTrust-Vet 31.6.6054 2008.08.28 -
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.5 2008.08.28 -
F-Secure 7.60.13501.0 2008.08.28 Suspicious_F.gen
Fortinet 3.14.0.0 2008.08.28 Misc/KeyGen
GData 19 2008.08.28 Win32:Trojan-gen
Ikarus T3.1.1.34.0 2008.08.28 Virus.Win32.Trojan
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.28 -
McAfee 5372 2008.08.28 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3397 2008.08.28 -
Norman 5.80.02 2008.08.28 Suspicious_F.gen
Panda 9.0.0.4 2008.08.28 Generic Trojan
PCTools 4.4.2.0 2008.08.28 Packed/FSG
Prevx1 V2 2008.08.28 -
Rising 20.59.31.00 2008.08.28 -
Sophos 4.33.0 2008.08.28 Mal/Packer
Sunbelt 3.1.1582.1 2008.08.26 VIPRE.Suspicious
Symantec 10 2008.08.28 Trojan Horse
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.28 PAK_Generic.002
VBA32 3.12.8.4 2008.08.28 -
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.28 Packed/FSG
Webwasher-Gateway 6.6.2 2008.08.28 Trojan.Packed.8720


Informazioni addizionali
File size: 74240 bytes
MD5...: 6f07f96d2072addcce50a1610f4aa8ad
SHA1..: 25297df3d8a5fa2ea38efd4388c1d47f1b2e34ec
SHA256: 828182f980e27ec74bb2b3aad131299a43569617a5996a25aa 34fe409c23a5cf
SHA512: b93bc207aa095ebd9bff29dad6caaa233bec8a80f086880d39 6c2944a7f3396a<br>082d6b02ba2eedbd9b3499c6f0459d1313542140c2c7185e64 ccdf6b5c2a6caa
PEiD..: FSG v2.0 -&gt; bart/xt
TrID..: File type identification<br>Generic Win/DOS Executable (49.8%)<br>DOS Executable Generic (49.8%)<br>Targa bitmap (Original TGA Format) (0.1%)<br>MS Flight Simulator Aircraft Performance Info (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x400154<br>timedatestamp.....: 0x21475346 (Fri Sep 11 01:35:02 1987)<br>machinetype.......: 0x14c (I386)<br><br>( 2 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br> 0x1000 0x3d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br> 0x3e000 0x12000 0x12000 7.86 49729e7fd04ddab34c91882694af7cb5<br><br>( 1 imports ) <br>&gt; KERNEL32.dll: LoadLibraryA, GetProcAddress<br><br>( 0 exports ) <br>
packers (F-Prot): FSG
packers (Kaspersky): FSG

cascavel
28-08-2008, 20.33.35
beh il risultato e' chiaro, sarebbe bastato l'url della pagina, eliminalo senza problemi. per sicurezza disattiva il ripristino sui due dischi http://www.megalab.it/articoli.php?id=510 ed esegui nuovamente una scansione in modalita' provvisoria, al termine riattiva il ripristino.

ottobre_rosso
28-08-2008, 22.27.33
ho fatto come hai detto: sembrerebbe tutto ok.

grazie mille, cascavel ;)

cascavel
28-08-2008, 22.34.07
ho fatto come hai detto: sembrerebbe tutto ok.

grazie mille, cascavel ;)
di niente, ciao ;)

Sergio Neddi
29-08-2008, 10.28.31
Semplicemente il file trovato da Antivir è un file infeto già rimosso da avast.
Infatti il percorso ed il nome del file fanno capire che Antivir ha trovato quel file nella quarantena di Avast.
La rimozione quindi è stata la cosa più giusta da fare, sarebbe anche stato possibile sempicemente svuotare la quarantena di Avast.
Mai utilizzare 2 antivirus in un PC, anche con sistemi operativi differenti, infatti può capitare che uno prenda come virus i file rimossi e messi in quarantena dall'altro (poco male, come in questo caso) ma addirittura che uno prenda come virali dei file relativi all'altro antivirus (firme o anche file del programma stesso) rendendolo inutilizzabile.

ottobre_rosso
29-08-2008, 11.13.34
Sergio, sai cos'e' la stranezza? che Avast non mi ha mai messo nulla in quarantena, percio' non capisco da dove arrivasse quel file :mm:

Poi una precisazione: i due antivirus sono si' sullo stesso pc, ma su due HD differenti, su ciascuno dei quali c'e' Xp Pro sp2, gli stessi sw e documenti (praticamente una sorta di copia), ma con sicurezza differenti (su uno Antivir, Spyboot e Ad-Aware, sull'altro Avast, AVG Antispyware e Spyware Blaster). Periodicamente faccio il boot dall'uno o dall'altro, giusto per aggiornare i vari sw Ho adottato questa soluzione perche' qualora, come mi e' gia' capitato. parecchie volte, un S.O. dovesse fallire, andare in crash o, comunque, manifestare un qualsiasi tipo di problema, posso sempre lavorare con l'altro ;)

Sergio Neddi
29-08-2008, 12.05.00
Evidentemente Avast in quarantena l'aveva messo, magari senza segnalarlo, boh.
Fatto sta che Avast i file quando li mette in quarantena li infila in \Programmi\Alwil Software\Avast4\DATA\moved e li rinomina aggiungendo l'estensione .vir, come nel tuo caso.
Considerando però che il nome del file era A0003327.exe.vir vien da pensare che fosse un file che originariamente si trovasse nell'area di ripristino di sistema (di solito i file che stanno lì hanno nomi simili a quello). E' possibile pertanto che Avast l'abbia spostato senza segnalarlo.
Avevo capito che i due antivirus sono su SO differenti, ma sullo stesso PC e quindi, facendo la scansione, uno intoppa nell'altro.
Con alcune combinazioni di antivirus può capitare che uno creda di riconoscere nei file dell'altro dei potenziali virus, danneggiando di fatto l'altro. Non è il tuo caso, visto che è intoppato solo in un file in quarantena. Tutto qua.

ottobre_rosso
29-08-2008, 13.06.44
Avevo capito che i due antivirus sono su SO differenti, ma sullo stesso PC e quindi, facendo la scansione, uno intoppa nell'altro.
Con alcune combinazioni di antivirus può capitare che uno creda di riconoscere nei file dell'altro dei potenziali virus, danneggiando di fatto l'altro. Non è il tuo caso, visto che è intoppato solo in un file in quarantena. Tutto qua.

nessun problema ;)

e grazie per le info

Giorgius
29-08-2008, 14.11.25
"A0003327.exe" e compagnia bella sono recenti Trojan virus (ocio a certi banner pubblicitari automatici stranieri) che riavviano o bloccano a caso, (anche con blue screen), il Winzozzone Xp Sp2/Sp3... Avira ed altri software AntiVirus rilevano il problema, ma per eliminarlo definitivamente occorre disabilitare il servizio ripristino configurazione di sistema del Winzozzo. ;)

Una volta finita la scansione-rimozione, riavviate il sistema e successivamente fate ripartire il servizio di ripristino configurazione sistema, se occorre...

cascavel
29-08-2008, 15.08.20
"A0003327.exe" e compagnia bella sono recenti Trojan virus (ocio a certi banner pubblicitari automatici stranieri) che riavviano o bloccano a caso, (anche con blue screen), il Winzozzone Xp Sp2/Sp3... Avira ed altri software AntiVirus rilevano il problema, ma per eliminarlo definitivamente occorre disabilitare il servizio ripristino configurazione di sistema del Winzozzo. ;)

Una volta finita la scansione-rimozione, riavviate il sistema e successivamente fate ripartire il servizio di ripristino configurazione sistema, se occorre...
con tutto il rispetto Giorgius post #4...

Sergio Neddi
29-08-2008, 18.10.24
Beh, la disattivazione del ripristino è opportuna con qualunque virus e spesso spiegato nei siti delle società antivirus.

Giorgius
29-08-2008, 21.35.06
con tutto il rispetto Giorgius post #4...

Mi riferivo al solo caso presenza Trojan generico "A0003327.exe" ;)

Se sono passate poche ore dall'infezione il Winzozzo riparte senza problemi... Se sono passati alcuni gg. l'unico metodo fai da te efficae ed economico, tenersi un HD secondario da utilizzare e formattare come nuovo disco per i Pc... Quello infettato, poi ripristinato, servirà per permettere di copiare il contenuto dei dati/foto/video/audio verso il nuovo HD e successivamente riformattare con la solita procedura standard (non veloce) del Winzozzo.

cascavel
29-08-2008, 21.52.32
ma veramente non credo che sia necessario formattare per eliminare un trojan di quel tipo,come non credo sia mai necessario fare tale operazione in seguito ad nessun tipo di infezione, ma questa e' un opinione del tutto personale, pero' se lo dici tu, e lo dico senza ironia, ne terro' conto.

Giorgius
29-08-2008, 23.18.48
Per esperienza sul settore sicurezza è così ;)

In casa meglio tenersi un secondo disco fisso per operare a rotazione la procedura di ripristino/formattazione...

Per persone esperte, si può sempre clonare il sistema operativo completamente riconfigurato da "0" sull'altro HD. Una volta infettato il disco primario, lo si sostituisce con l'altro, effettuando successivamente il trasbordo dei dati, dopo aver rimosso il relativo rospo (trojan) di turno...