www.MegaLab.it

da **Matilda12** » dom mag 18, 2008 6:50 pm

Salve a tutti!

Ho installato, appena uscita, la versione 8 di AVG Free Edition e, oggi, mi viene pensato di fare una bella scansione approfondita della macchina.

Esito: mi vengono restituiti tutta una serie di allarmi che prima (versione 7.5) non comparivano. Non parlo dei semplici "password-protected" oppure "locked file" ... quelli ci stanno (e dipendono dalle impostazioni date).

Ma di alcune segnalazioni tipo:
1) file xpsf1.exe (dentro la cartella c:\winnt del mio Win2k), posseduto da Trojan Horse Generic10.RDU (esiste pure un file xpsf.exe ... ma questo non è rilevato)
2) tutta una serie di plug-in di UltimateBootCd (peraltro già rilevato con la precedente versione 7.5).

Per quest'ultimo non mi sono preoccupato, ma per il primo sì.
Ho scansionato il file con AvastHE (anche il servizio on-line) e con il servizio on-line di Kaspersky ... sembra tutto ok.
Dite che posso essere tranquillo?

Per un vostro eventuale controllo ho caricato il file in argomento.

Credete che siano solo oaks? ... [uhm]

Grazie!!!

Matilda12

da **ste_95** » dom mag 18, 2008 7:08 pm

Il file non è così pulito, l'ho mandato ad Avira:

http://www.virustotal.com/analisis/6428 ... 306ce916ef

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.

da **Matilda12** » dom mag 18, 2008 8:08 pm

ste_95 ha scritto:Il file non è così pulito ...

Come mai dici che non è pulito? Hai potuto rilevare qualcosa?

ste_95 ha scritto:... l'ho mandato ad Avira ...

Mi puoi far sapere poi cosa ti dicono?

[grazie][grazie]

Nel frattempo ho controllato il file anche con Dr.WebCureIt (standalone, freeware) di ieri. Anche questo dice tutto ok.

Ad ogni modo, nel dubbio, l'ho messo nel VirusVault di AVG.
Sarei comunque curioso di capire qual è il sw che l'ha piazzato lì ...

Appena terminata la scansione con AVG (adesso sono a più di 5 ore di lavoro e oltre il milione di file ... [acc2]

), opererò con HijackThis ... sperando che non vada a finire troppo tardi ... domani mattina mi devo alzare prima delle 5!!!

Ciao Ste_95! Grazie ancora per la disponibilità! [brindisi]

Matilda12

da **ste_95** » dom mag 18, 2008 8:15 pm

Riesci a caricarmi online anche l'altro file sospetto?

da **ste_95** » lun mag 19, 2008 6:14 am

Ok, grazie per il file infetto, mi servirà. Mentre il secondo file era pulito.
Il log è pulito, se vuoi una conferma precisa, aspetta qualche ora che Avira mi risponda, così lo togli dalla quarantena e lo elimini [;)]

da **ste_95** » lun mag 19, 2008 1:38 pm

Dovrebbe riferirsi al presunto file infetto:

We could not find a virus or virulent components in the attachment you have sent us.

da **Matilda12** » mar mag 20, 2008 4:46 am

Ciao Ste_95,
ti rispondo e ringrazio al volo!
Continuerò a tenere il file in quarantena ... comunque, confidavo che fosse solo un oaks segnalato ad AVG 8 Freeware Edition.
L'altro giorno non ho fatto in tempo a terminare la scansione, ma, ad occhio, ho visto che mi venivano dati una montagna di allarmi per sw da sempre presenti nel mio hd ... tutto per dire che questo "nuovo" motore di ricerca mi sembra un po' troppo suscettibile ...

Vorrei solo capire chi è il "proprietario" del file ...

Comunque, grazie ancora ...
Questo fine settimana farò ulteriori prove/indagini e ti farò sapere, ok?
Buon proseguimento!!!
Matilda12

da **ste_95** » mar mag 20, 2008 5:27 am

Ok.

Comunque non è solo AVG che rileva il file come infetto, sono in tre, ma tre non sono abbastanza per dire che è infetto, Avira non è d'accordo.

da **Matilda12** » dom mag 25, 2008 7:44 am

Ciao Ste_95,
ti aggiorno sulla situazione ...

Ho fatto la scansione (con Windows caricato) di tutto il mio elaboratore con AVG 8 ... oltre 17 ore per più di 2 milioni di file ... (arrestati tutti gli altri processi che potevano interferire).
Esito: una pletora di allarmi su potenziali virus, trojan e compagnia cantando ... anche su software "stupidi" che sono nel mio pc da secoli ... scaricati da siti attendibili (Softpedia, Aiutamici.com o Webattack).
Inoltre, ti assicuro, per indole e scelta:
a) non frequento mai e poi mai "siti strani" (di nessun genere)
b) non apro mai allegati alle mail (nemmeno di conoscenti), a meno che non ci siamo messi d'accordo preventivamente sull'invio dei file
c) controllo (con almeno due antivirus) tutto il materiale che mi viene passato su penne USB o cd o DVD.

Ovviamente, ho un firewall ... e diversi sistemi antispyware ...
S.O. aggiornato a non più di un mese di patch ...

Mi dici come cavolo ho fatto a prendere tutti questi virus?! [uhm]

Uno, due ... ma 30/40 sarei stato proprio un $$$$ ...

Adesso (da 10 ore circa) sto facendo la scansione all'avvio (possibile solo con Avast e Avira, per i freeware ... da quello che so) del mio sistema (quindi nemmeno Win caricato).
Esito in corso: altre zozzerie segnalata ma, curiosità, ad occhio, diverse da quelle indicate da AVG!!!

ste_95 ha scritto: ... Comunque non è solo AVG che rileva il file come infetto, sono in tre ...

Ossia? Chi sarebbero i tre che ti dicono che il file è infetto?

Perché a questo punto le mie risultanze sono:
AVG -->

infetto
Avast (HE e servizio on-line)--> non infetto
Dr. Web CureIt -->

non infetto
Kaspersky (servizio on-line) -->

non infetto

Finale:
1) ho preso i due file eseguibili (sia xpsf.exe sia xpsf1.exe)
2) disattivato la protezione residente di AVG e lasciata quella di Avast HE
3) preso un visualizzatore "universale" e controllato il contenuto di entrambi
4) preso un visualizzatore Hex e dis-assemblatore e controllato il contenuto di entrambi

In sostanza, ci ho capito poco, ma entrambi puntano, rispettivamente, a file del tipo "Support.pdb" e "Cpp1.pdb".

Il servizio di "riconoscimento file di Microsoft" disconosce il formato "pdb".
Un vecchio programmino (freeware ... ovvio!) del 2001, mi dice che è una estensione riconducibile a: Palmpilot Database/Document File oppure Pegasus DataBase oppure Tact File oppure QuickPOS Database File.

Inoltre, da una ricerca in rete del file Cpp1.pdb, sembra che questo possa saltar fuori per chi usa compilatori C++ ... io ne ho uno installato e, in passato, mi dilettavo a fare programmini in C++ ...

Chiudo (ringraziandoti infinitamente per la pazienza di aver letto tutto questo): dici che posso essere comunque tranquillo?

Al di là del mio caso personale, mi resta l'idea che questi antivirus (freeware e non ... lo vedo al lavoro!) segnalino l'inverosimile ... come se l'approccio fosse: "nel dubbio, mettiamo le mani avanti".
Così non va bene ...

La mia caccia a xpsf1.exe prosegue ...

[grazie][grazie]
[ciao]

Matilda12

da **ste_95** » dom mag 25, 2008 8:06 am

Io non os come vedano la situazione Avast e AVG, ma una cosa la so, non sono due buoni/ottimi antivirus. Da freeware a freeware allora ti consiglierei di passare ad Avira che sicuramente non vede virus dappertutto, ma li vede dove deve vederli e svolge il suo compito egregiamente. Ora come ora c'è anche la promozione per la Premium, della quale ti consiglio di approfittare in fretta:

http://www.MegaLab.it/forum/viewtopic.php?t=42262

Quel xpsf1.exe è un mistero, in 4 dicono che è un malware, in 28 lo danno pulito... Non saprei dirti più che fare, oltre che a provare un antivirus diverso e più affidabile.

da **Matilda12** » dom mag 25, 2008 8:29 am

Temo che sia visto come un malware (così ... a sensazione) perché in una delle sue righe si legge (in sintesi) qualcosa del tipo "C:\docsNsetts\...\Vicky.Vicky_7\".

Sarà "Vicky.Vicky" che manda tutto in allarme?

Per la precisione: mai avuto il piacere di conoscere tale soggetto e/o frequentare siti in cui codesta era presente ... almeno mai percepito tale circostanza!!!

Grazie ancora e buona domenica ... mi tengo i due antivirus allarmisti e, stavo pensando, invierò ai loro sviluppatori tutti gli allarmi rilevati ... [devil]

Matilda12

da **ste_95** » dom mag 25, 2008 8:31 am

Non vedo perché un percorso dovrebbe generare un falso positivo [boh]

da **Matilda12** » dom mag 25, 2008 6:13 pm

Ciao Ste_95,
siccome mi impunto come un caprone (vedansi mio avatar ... [sh]

), ho spedito il fatidico file alla Grisoft ... vediamo se mi rispondono e cosa dicono, ok?

[ciao]

Matilda12

da **ste_95** » dom mag 25, 2008 6:17 pm

da **Matilda12** » dom mag 25, 2008 8:44 pm

Ste_95,
riporto pari pari il responso fornito da Grisoft a mezzo mail:

---------------------
This email is an auto-response message. Please do not reply.

AVG Anti-virus Research Lab has analyzed the file(s) you have sent from your AVG
Virus Vault. Below you can find the results for each file. The final verdict on
the file is either a correct detection or a false positive detection.

Further information about the verdicts are available at our website:
http://www.avg.com/faq-1184

"C:\WINNT\xpsf1.exe" - detection is correct

Best regards,

AVG Technical Support
website: http://www.avg.com
---------------------

Praticamente: conferma se stesso ... io speravo che svolgessero una analisi un pochino più approfondita ...
In effetti, nella pagina sopra indicata, si parla della possibilità di un ulteriore controllo, ma, a questo punto, scatta l'assistenza solo per chi ha acquistato la versione superiore. Credo ...
Vabbé ... almeno hanno risposto subito! [rolleyes]

Matilda12

da **ste_95** » lun mag 26, 2008 5:57 am

Scherzi??!? Fare analizzare un file sospetto a delle persone reali è troppo per la Grisoft, al più può provare a farlo girare alla ThreatExpert. [:p]

Quindi.... Cosa vuoi fare?

da **Matilda12** » sab mag 31, 2008 7:28 am

ste_95 ha scritto:... Quindi.... Cosa vuoi fare?

Prima di tutto: lasciare l'eseguibile dentro il "virus vault" di AVG ... il pc sta comunque andando tranquillamente, quindi non è un file molto necessario ... [boh]

Come da te consigliato, ho sottoposto il file al servizio offerto da ThreatExpert.
L'esito è questo.

Non mi sembra nulla di "pericoloso", anche se un po' dubbio (visto che elimina e ricrea la stessa chiave di registro).

La versione 2008 di AdAware (tanto per dirne una) fornisce la possibilità di sottoporre sospetto malware ... vedremo ...

Grazie per ora!!!
[ciao]

Matilda12

da **Matilda12** » sab mag 31, 2008 9:20 am

Ste_95,

ho inviato il file xpsf1.exe alla Lavasoft, attraverso il programma "ThreatWork" fornito con AdAware 2008.

Si sono "ciucciati" il file (attraverso una connessione protetta ... ok) e ... tutto è finito lì. Nessuna richiesta di indirizzi mail per la risposta o cose simili.
Insomma: chi mi dirà mai se è infetto oppure no?! [boh]