Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

AVG 8 Free Edition: qualche falso allarme di troppo?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

AVG 8 Free Edition: qualche falso allarme di troppo?

Messaggioda Matilda12 » dom mag 18, 2008 6:50 pm

Salve a tutti!

Ho installato, appena uscita, la versione 8 di AVG Free Edition e, oggi, mi viene pensato di fare una bella scansione approfondita della macchina.

Esito: mi vengono restituiti tutta una serie di allarmi che prima (versione 7.5) non comparivano. Non parlo dei semplici "password-protected" oppure "locked file" ... quelli ci stanno (e dipendono dalle impostazioni date).

Ma di alcune segnalazioni tipo:
1) file xpsf1.exe (dentro la cartella c:\winnt del mio Win2k), posseduto da Trojan Horse Generic10.RDU (esiste pure un file xpsf.exe ... ma questo non è rilevato)
2) tutta una serie di plug-in di UltimateBootCd (peraltro già rilevato con la precedente versione 7.5).

Per quest'ultimo non mi sono preoccupato, ma per il primo sì.
Ho scansionato il file con AvastHE (anche il servizio on-line) e con il servizio on-line di Kaspersky ... sembra tutto ok.
Dite che posso essere tranquillo?

Per un vostro eventuale controllo ho caricato il file in argomento.

Credete che siano solo oaks? ... [uhm]

Grazie!!!
[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Messaggioda ste_95 » dom mag 18, 2008 7:08 pm

Il file non è così pulito, l'ho mandato ad Avira:

http://www.virustotal.com/analisis/6428 ... 306ce916ef

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Matilda12 » dom mag 18, 2008 8:08 pm

[grazie]

ste_95 ha scritto:Il file non è così pulito ...

Come mai dici che non è pulito? Hai potuto rilevare qualcosa?

ste_95 ha scritto:... l'ho mandato ad Avira ...

Mi puoi far sapere poi cosa ti dicono?
[grazie][grazie][grazie]

Nel frattempo ho controllato il file anche con Dr.WebCureIt (standalone, freeware) di ieri. Anche questo dice tutto ok.

Ad ogni modo, nel dubbio, l'ho messo nel VirusVault di AVG.
Sarei comunque curioso di capire qual è il sw che l'ha piazzato lì ...

Appena terminata la scansione con AVG (adesso sono a più di 5 ore di lavoro e oltre il milione di file ... [acc2]), opererò con HijackThis ... sperando che non vada a finire troppo tardi ... domani mattina mi devo alzare prima delle 5!!!

Ciao Ste_95! Grazie ancora per la disponibilità! [brindisi]
[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia


Messaggioda ste_95 » dom mag 18, 2008 8:15 pm

Riesci a caricarmi online anche l'altro file sospetto?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ste_95 » lun mag 19, 2008 6:14 am

Ok, grazie per il file infetto, mi servirà. Mentre il secondo file era pulito.
Il log è pulito, se vuoi una conferma precisa, aspetta qualche ora che Avira mi risponda, così lo togli dalla quarantena e lo elimini [;)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ste_95 » lun mag 19, 2008 1:38 pm

Dovrebbe riferirsi al presunto file infetto:

We could not find a virus or virulent components in the attachment you have sent us.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Fiuuu ...

Messaggioda Matilda12 » mar mag 20, 2008 4:46 am

Ciao Ste_95,
ti rispondo e ringrazio al volo!
Continuerò a tenere il file in quarantena ... comunque, confidavo che fosse solo un oaks segnalato ad AVG 8 Freeware Edition.
L'altro giorno non ho fatto in tempo a terminare la scansione, ma, ad occhio, ho visto che mi venivano dati una montagna di allarmi per sw da sempre presenti nel mio hd ... tutto per dire che questo "nuovo" motore di ricerca mi sembra un po' troppo suscettibile ...

Vorrei solo capire chi è il "proprietario" del file ...

Comunque, grazie ancora ...
Questo fine settimana farò ulteriori prove/indagini e ti farò sapere, ok?
Buon proseguimento!!!
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Messaggioda ste_95 » mar mag 20, 2008 5:27 am

Ok.

Comunque non è solo AVG che rileva il file come infetto, sono in tre, ma tre non sono abbastanza per dire che è infetto, Avira non è d'accordo.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Non ne vango a capo ...

Messaggioda Matilda12 » dom mag 25, 2008 7:44 am

Ciao Ste_95,
ti aggiorno sulla situazione ...

Ho fatto la scansione (con Windows caricato) di tutto il mio elaboratore con AVG 8 ... oltre 17 ore per più di 2 milioni di file ... (arrestati tutti gli altri processi che potevano interferire).
Esito: una pletora di allarmi su potenziali virus, trojan e compagnia cantando ... anche su software "stupidi" che sono nel mio pc da secoli ... scaricati da siti attendibili (Softpedia, Aiutamici.com o Webattack).
Inoltre, ti assicuro, per indole e scelta:
a) non frequento mai e poi mai "siti strani" (di nessun genere)
b) non apro mai allegati alle mail (nemmeno di conoscenti), a meno che non ci siamo messi d'accordo preventivamente sull'invio dei file
c) controllo (con almeno due antivirus) tutto il materiale che mi viene passato su penne USB o cd o DVD.

Ovviamente, ho un firewall ... e diversi sistemi antispyware ...
S.O. aggiornato a non più di un mese di patch ...

Mi dici come cavolo ho fatto a prendere tutti questi virus?! [uhm]
Uno, due ... ma 30/40 sarei stato proprio un $$$$ ...

Adesso (da 10 ore circa) sto facendo la scansione all'avvio (possibile solo con Avast e Avira, per i freeware ... da quello che so) del mio sistema (quindi nemmeno Win caricato).
Esito in corso: altre zozzerie segnalata ma, curiosità, ad occhio, diverse da quelle indicate da AVG!!!


ste_95 ha scritto: ... Comunque non è solo AVG che rileva il file come infetto, sono in tre ...

Ossia? Chi sarebbero i tre che ti dicono che il file è infetto?

Perché a questo punto le mie risultanze sono:
AVG --> infetto
Avast (HE e servizio on-line)--> non infetto
Dr. Web CureIt --> non infetto
Kaspersky (servizio on-line) --> non infetto



Finale:
1) ho preso i due file eseguibili (sia xpsf.exe sia xpsf1.exe)
2) disattivato la protezione residente di AVG e lasciata quella di Avast HE
3) preso un visualizzatore "universale" e controllato il contenuto di entrambi
4) preso un visualizzatore Hex e dis-assemblatore e controllato il contenuto di entrambi

In sostanza, ci ho capito poco, ma entrambi puntano, rispettivamente, a file del tipo "Support.pdb" e "Cpp1.pdb".

Il servizio di "riconoscimento file di Microsoft" disconosce il formato "pdb".
Un vecchio programmino (freeware ... ovvio!) del 2001, mi dice che è una estensione riconducibile a: Palmpilot Database/Document File oppure Pegasus DataBase oppure Tact File oppure QuickPOS Database File.

Inoltre, da una ricerca in rete del file Cpp1.pdb, sembra che questo possa saltar fuori per chi usa compilatori C++ ... io ne ho uno installato e, in passato, mi dilettavo a fare programmini in C++ ...

Chiudo (ringraziandoti infinitamente per la pazienza di aver letto tutto questo): dici che posso essere comunque tranquillo?

Al di là del mio caso personale, mi resta l'idea che questi antivirus (freeware e non ... lo vedo al lavoro!) segnalino l'inverosimile ... come se l'approccio fosse: "nel dubbio, mettiamo le mani avanti".
Così non va bene ...

La mia caccia a xpsf1.exe prosegue ...
[grazie][grazie][grazie]
[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Messaggioda ste_95 » dom mag 25, 2008 8:06 am

Io non os come vedano la situazione Avast e AVG, ma una cosa la so, non sono due buoni/ottimi antivirus. Da freeware a freeware allora ti consiglierei di passare ad Avira che sicuramente non vede virus dappertutto, ma li vede dove deve vederli e svolge il suo compito egregiamente. Ora come ora c'è anche la promozione per la Premium, della quale ti consiglio di approfittare in fretta:

http://www.MegaLab.it/forum/viewtopic.php?t=42262

Quel xpsf1.exe è un mistero, in 4 dicono che è un malware, in 28 lo danno pulito... Non saprei dirti più che fare, oltre che a provare un antivirus diverso e più affidabile.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Ok ... grazie!!!

Messaggioda Matilda12 » dom mag 25, 2008 8:29 am

[grazie]

Temo che sia visto come un malware (così ... a sensazione) perché in una delle sue righe si legge (in sintesi) qualcosa del tipo "C:\docsNsetts\...\Vicky.Vicky_7\".

Sarà "Vicky.Vicky" che manda tutto in allarme?

Per la precisione: mai avuto il piacere di conoscere tale soggetto e/o frequentare siti in cui codesta era presente ... almeno mai percepito tale circostanza!!!

Grazie ancora e buona domenica ... mi tengo i due antivirus allarmisti e, stavo pensando, invierò ai loro sviluppatori tutti gli allarmi rilevati ... [devil]

[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Messaggioda ste_95 » dom mag 25, 2008 8:31 am

Non vedo perché un percorso dovrebbe generare un falso positivo [boh]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Vediamo che dice Grisoft ...

Messaggioda Matilda12 » dom mag 25, 2008 6:13 pm

Ciao Ste_95,
siccome mi impunto come un caprone (vedansi mio avatar ... [sh] ), ho spedito il fatidico file alla Grisoft ... vediamo se mi rispondono e cosa dicono, ok?

[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Messaggioda ste_95 » dom mag 25, 2008 6:17 pm

[^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Esito fornito da AVG ...

Messaggioda Matilda12 » dom mag 25, 2008 8:44 pm

Ste_95,
riporto pari pari il responso fornito da Grisoft a mezzo mail:

---------------------
This email is an auto-response message. Please do not reply.

AVG Anti-virus Research Lab has analyzed the file(s) you have sent from your AVG
Virus Vault. Below you can find the results for each file. The final verdict on
the file is either a correct detection or a false positive detection.


Further information about the verdicts are available at our website:
http://www.avg.com/faq-1184

"C:\WINNT\xpsf1.exe" - detection is correct



Best regards,

AVG Technical Support
website: http://www.avg.com
---------------------

Praticamente: conferma se stesso ... io speravo che svolgessero una analisi un pochino più approfondita ...
In effetti, nella pagina sopra indicata, si parla della possibilità di un ulteriore controllo, ma, a questo punto, scatta l'assistenza solo per chi ha acquistato la versione superiore. Credo ...
Vabbé ... almeno hanno risposto subito! [rolleyes]

[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Messaggioda ste_95 » lun mag 26, 2008 5:57 am

Scherzi??!? Fare analizzare un file sospetto a delle persone reali è troppo per la Grisoft, al più può provare a farlo girare alla ThreatExpert. [:p]

Quindi.... Cosa vuoi fare?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Matilda12 » sab mag 31, 2008 7:28 am

ste_95 ha scritto:... Quindi.... Cosa vuoi fare?


Prima di tutto: lasciare l'eseguibile dentro il "virus vault" di AVG ... il pc sta comunque andando tranquillamente, quindi non è un file molto necessario ... [boh]

Come da te consigliato, ho sottoposto il file al servizio offerto da ThreatExpert.
L'esito è questo.

Non mi sembra nulla di "pericoloso", anche se un po' dubbio (visto che elimina e ricrea la stessa chiave di registro).

La versione 2008 di AdAware (tanto per dirne una) fornisce la possibilità di sottoporre sospetto malware ... vedremo ...

Grazie per ora!!!
[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Aggiornamento situazione ...

Messaggioda Matilda12 » sab mag 31, 2008 9:20 am

Ste_95,

ho inviato il file xpsf1.exe alla Lavasoft, attraverso il programma "ThreatWork" fornito con AdAware 2008.

Si sono "ciucciati" il file (attraverso una connessione protetta ... ok) e ... tutto è finito lì. Nessuna richiesta di indirizzi mail per la risposta o cose simili.
Insomma: chi mi dirà mai se è infetto oppure no?! [boh] [boh] [boh]

[ciao]
Matilda12
Ultima modifica di Matilda12 il sab mag 31, 2008 10:54 am, modificato 1 volta in totale.
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia

Messaggioda ste_95 » sab mag 31, 2008 9:27 am

So cosa vuol dire, ho smesso subito di inviare file infetti ad Avast visto che non rispondeva neanche che dire Ciao, o Grazie [std]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Controllo file dalla Alwil ... ossia Avast

Messaggioda Matilda12 » sab mag 31, 2008 10:59 am

ste_95 ha scritto:So cosa vuol dire, ho smesso subito di inviare file infetti ad Avast visto che non rispondeva neanche che dire Ciao, o Grazie [std]


A proposito: ho inviato alla Alwil Software ben 16 file sospetti. Questo è accaduto 6 giorni fa. Ad oggi nessun segno. [cry]

[ciao]
Matilda12
Dove c'è molta luce l'ombra è più nera.
Avatar utente
Matilda12
Utente inattivo
 
Messaggi: 1319
Iscritto il: mer feb 07, 2007 11:15 pm
Località: Marche - Italia


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising