Salve a tutti ho in mio possesso un file che avast su un computer di un mio amico mi dice infetto da un malware (troian). Io sul mio pc ho norton internet security 2008 e l spysweeper ed entrambi mi dicono che è pulito.
Ho provato anche a scansionarlo on line con bitdefender, panda e mcafee e tutti me lo danno come pulito.
Anche la scansione online di avast mi dice che è infetto.

Il virus è: infected - Win32:Trojan-gen {Other}

A chi devo credere?

Grazie dei consigli.

Pierpippo.

ciao
fallo scansionare su www.virustotal.com e posta qui il log tramite la funzione allegati oppure lo carichi su www.zshare.net e copia qui il link x il download
ciao cioa

ciao
fallo scansionare su www.virustotal.com e posta qui il log tramite la funzione allegati oppure lo carichi su www.zshare.net e copia qui il link x il download
ciao cioa

Ecco il log:

File **********************.exe ricevuto il 2008.01.03 00:38:09 (CET)Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 - - Win-Trojan/Xema.variant
AntiVir - - -
Authentium - - -
Avast - - Win32:Trojan-gen {Other}
AVG - - Generic9.ABLW
BitDefender - - -
CAT-QuickHeal - - W32.Brontok.Q
ClamAV - - PUA.Packed.MEW-1
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - Not-A-Virus.Hacktool.Crack
FileAdvisor - - High threat detected
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Trojan.Keygen.Q
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - Suspicious_M.gen
Panda - - -
Prevx1 - - -
Rising - - Trojan.Xema.ko
Sophos - - Mal/EncPk-BA
Sunbelt - - VIPRE.Suspicious
Symantec - - -
TheHacker - - W32/Behav-Heuristic-066
VBA32 - - -
VirusBuster - - Packed/MEW
Webwasher-Gateway - - Riskware.Xema.A

Informazioni addizionali
MD5: 1100c2aac4a56bad2856ae81c19a35c4

Grazie dell'ottimo sito.
Cosa ne pensi?

Grazie ancora.

Pierpippo.

penso che c devi indicare il nome del file exe e seguire la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

stai attento a come posti i log, scegliendo tra:
1)i tag (code) (/code)
2)la funzione allegati, rinominando i log in formato txt
3)caricare il log su un server come www.zshare.net, copiando qui i link x il download
è preferibile l'ultima opzione

e se puoi togli il norton,non è granchè mi sa;)

e se puoi togli il norton,non è granchè mi sa;)

Il norton ha una brutta fama ma esce sempre vincente insieme a kaspesky e gdata. Oltretutto la versione 2008 è anche la internet security più leggera e una delle più veloci nel caricamento all'avvio.
Non capisco come solo una piccola percentuale degli antivirus riesca a capire che c'è un virus e la maggior parte no. Non è che è un falso positivo?

penso che c devi indicare il nome del file exe e seguire la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

stai attento a come posti i log, scegliendo tra:
1)i tag (code) (/code)
2)la funzione allegati, rinominando i log in formato txt
3)caricare il log su un server come www.zshare.net, copiando qui i link x il download
è preferibile l'ultima opzione

Purtroppo in questo forum non posso postare il nome del file ;)

Secondo me solo l'antivirus Ewido ha capito di cosa si tratta veramente quel file ;)

Ma come fare ad esserne sicuro?
Provo a fare una scansione con highjaks?

Questo comunque è il log di hiahjackthis:

Come vi sembra, sono infetto??? :confused:

Questo comunque è il log di hiahjackthis:
Come vi sembra, sono infetto??? :confused:
Senza neppure guardare il log: sei infetto.

P.S.: Norton assieme a Kaspersky e a (..... che era ....) che sarebbe??? :eek: :mbe:
Impiega un attimo del tuo tempo e leggi qui: http://www.av-comparatives.org/seiten/ergebnisse/report16.pdf
al termine della lettura, saprai cosa è, esattamente, Norton :cool:

Senza neppure guardare il log: sei infetto.

P.S.: Norton assieme a Kaspersky e a (..... che era ....) che sarebbe??? :eek: :mbe:
Impiega un attimo del tuo tempo e leggi qui: http://www.av-comparatives.org/seiten/ergebnisse/report16.pdf
al termine della lettura, saprai cosa è, esattamente, Norton :cool:

Potresti guardare il mio log? mi sembra di non averlo aperto il file infetto, quindi penso di essere pulito.

Potresti guardare il mio log? mi sembra di non averlo aperto il file infetto, quindi penso di essere pulito.

O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.0.cab

Io propendo per un dialer tu no: chi dei due avrà ragione? :confused:

O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.0.cab

Io propendo per un dialer tu no: chi dei due avrà ragione? :confused:

no io non ho detto che sono pulito ma che penso di esserlo. Io il log non lo so leggere quindi chiedo aiuto a te e a chi lo sa fare.
Ho fatto una scansione automatica ed in effetti quello che dici te mi dice di disattivarlo. Comunque penso che sia dovuto a qualche altro file infetto perchè quello incriminato non l'ho aperto.

Ora tramite highjackthis ho eliminato la voce.
Pensi che basti così o devo fare altro?
Ho rifatto la scansione e testata online in modo automatico e non mi da più la voce che mi hai evidenziato.

Fammi sapere se puoi.
A presto.

Pierpippo.

io ti consiglio di seguira la la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Forse non ci capiamo:
Comunque penso che sia dovuto a qualche altro file infetto perchè quello incriminato non l'ho aperto.
L'altro file non c'entra nulla (cestinalo e ripulisci il cestino): qui il problema è al tuo P.C. e non dipende (almeno non solo) dai file che ti porti da casa degli amici e piazzi sul tuo P.C. per giocare all'Ispettore Anti Virus.
In futuro, evita di portarti i compiti a casa: non solo rischi di infettare il tuo P.C. ma rischi di infettare anche la pendrive, con conseguenze davvero poco simpatiche.

@ pierpippo:
si può sapere quel'è il problema?
hai scaricato un keygen per il norton? (non mi esprimo) e non lo hai aperto?
ma il problema a quanto leggo non è il keygen in sè ma una qualche segnalazione dello stesso norston... per una volta gli do' ragione se permetti!

se dici di non essere infetto allora a che è servito sto' teatrino? forse per, un qualche modo, dimostrare che i keygen vengono spesso associati a qualcosa di più malevolo?
sinceramente do pienamente ragione a queste ditte che te lo identificano come malware perchè altro non è, e se veramente ti interessava non spendere potevi valutare l'adozione di software free che non fanno di certo rimpiangere la scelta...

chi ha sbagliato tirando le conclusioni? :D


ps: un po' masochista lo sei se ammetti di non poter scrivere il nome del file in questo forum! ;)

@ pierpippo:
si può sapere quel'è il problema?
hai scaricato un keygen per il norton? (non mi esprimo) e non lo hai aperto?
ma il problema a quanto leggo non è il keygen in sè ma una qualche segnalazione dello stesso norston... per una volta gli do' ragione se permetti!

se dici di non essere infetto allora a che è servito sto' teatrino? forse per, un qualche modo, dimostrare che i keygen vengono spesso associati a qualcosa di più malevolo?
sinceramente do pienamente ragione a queste ditte che te lo identificano come malware perchè altro non è, e se veramente ti interessava non spendere potevi valutare l'adozione di software free che non fanno di certo rimpiangere la scelta...

chi ha sbagliato tirando le conclusioni? :D


ps: un po' masochista lo sei se ammetti di non poter scrivere il nome del file in questo forum! ;)

Mi dispiace contraddirti ma sei lontano anniluce. Io ho acquistato regolare licenza del norton internet security fino alla versione 2008 che ho rinnovato da pochi giorni. Costo dell'operazione 33 euro con lo sconto per i clienti della mia banca (Intesa San Paolo).
Il problema era capire se il norton funziona peggio di AVG free solo antivirus installato dal mio amico. Il file è per lui non per me. Quindi è assodato che il norton non lo rileva, non perchè è il suo keygen, ma perchè lo ritiene innoquo.
Poi non essendo sicuro di avere aperto il file sul mio pc ho fatto una scansione con highjackthis e ho scoperto di avere un'altra infezione, presa chissà quando chissà da quale file.
Ho poi regolare licenza del webroot spysweeper che dovrebbe essere un anti troia e malware, ma anche lui mi dice che il file è pulito. Ma allora mi domando ha senso rinnovare anche la licenza di quest'ultimo che scadrà a marzo?
Ecco le riposte che cercavo:

A presto.

Pierpippo.

A questo punto mi sono accorto che il file è stato aperto sul computer che utilizzo al lavoro. Ho fatto una scansione con hijackthis anche di questo pc ma da una analisi automatica mi sembra ok. C'è solo una o due voci che gli utenti identificano come sospette ma che ha una v verde.

A questo punto vorrei sapere da chi è capace se il pc al lavoro è infetto dal troian che diceva avg oppure se avg ha preso un abbaglio.

Anche sul pc al lavoro ho norton internet security 2008 (lo posso installare su 3 pc come da licenza) e webroot spysweeper regolarmente acquistato.

Grazie come sempre a tutti dell'aiuto.

Pierpippo.

A questo punto mi sono accorto che il file è stato aperto sul computer che utilizzo al lavoro ..... ...... e bla, bla, bla
Quando impararete a leggere sarà, sempre troppo tardi: quando, poi, le cose vi vengono spiegate e fate finta di non capire (vedi post #14), l'unica soluzione percorribile (almeno da parte mia) è non darvi retta e lasciar perdere.
Tu, intanto, continua a giocare all'Ispettore Anti Virus ed a infettare macchine a destra ed a sinistra.

Purtroppo in questo forum non posso postare il nome del file

Secondo me solo l'antivirus Ewido ha capito di cosa si tratta veramente quel file

Ewido - - Not-A-Virus.Hacktool.Crack :D

Quando impararete a leggere sarà, sempre troppo tardi: quando, poi, le cose vi vengono spiegate e fate finta di non capire (vedi post #14), l'unica soluzione percorribile (almeno da parte mia) è non darvi retta e lasciar perdere.
Tu, intanto, continua a giocare all'Ispettore Anti Virus ed a infettare macchine a destra ed a sinistra.

La tua arroganza mi urta veramente. Ma chi ti credi di essere per potere giudicare gli altri? Ma cosa ne sai di quello che faccio o non faccio! Io il file l'ho usato al lavoro perchè i miei due antivirus antimalware me lo hanno dato come pulito e non ho giocato prorpio a niente.
Poi quando ho portato questo file sul pc del mio amico mi sono accorto che l'avg mi dava errore.
Servono veramente a poco i tuoi interventi del te l'avevo detto. Se vuoi essere veramente d'aiuto potersti guardare il secondo log e dire se è a posto oppure no.
Se no puoi anche evitare di lasciare post inutili.

A presto.

Pierpippo.

Ewido - - Not-A-Virus.Hacktool.Crack :D

infatti


Mi dispiace contraddirti ma sei lontano anniluce. Io ho acquistato regolare licenza del norton internet security fino alla versione 2008 che ho rinnovato da pochi giorni. Costo dell'operazione 33 euro con lo sconto per i clienti della mia banca (Intesa San Paolo).
Il problema era capire se il norton funziona peggio di AVG free solo antivirus installato dal mio amico. Il file è per lui non per me. Quindi è assodato che il norton non lo rileva, non perchè è il suo keygen, ma perchè lo ritiene innoquo.
Poi non essendo sicuro di avere aperto il file sul mio pc ho fatto una scansione con highjackthis e ho scoperto di avere un'altra infezione, presa chissà quando chissà da quale file.
Ho poi regolare licenza del webroot spysweeper che dovrebbe essere un anti troia e malware, ma anche lui mi dice che il file è pulito. Ma allora mi domando ha senso rinnovare anche la licenza di quest'ultimo che scadrà a marzo?
Ecco le riposte che cercavo:

A presto.

Pierpippo.
sarà di un altro prodotto e la cosa cmq non mi interessa sei tu che lo possiedi sul tuo pc quindi non è di mia competenza una sanzione..
ad ogni modo il file è:
winrar.3.xx.generic.patch.exe

tutti i keygen o patch o crack sono intrinsicamente malware e nel 98% dei casi possiedono caratteristiche di backdoor o trojan quindi l'antivirus e l'antispyware non possono venir accusati ne se lasciano passare il file senza allert ne se danno un allarme più alto della realtà..
sopratutto la patch per winRAR che aggira il controllo di licenza modificando chiavi di registro e sostituendo un exe e una dll...

ma la cosa assurda è che esistono prodotti free ed OpenSource che non fanno di certo rimpiangere winRAR/winZIP/winACE/winARJ...

ad ogni modo se vuoi una valutazione del antivirus o meglio consiglio sull'antivirus da adottare c'è un thread che fa al caso tuo:

Configurazione di Sicurezza: valutazioni e software (http://www.hwupgrade.it/forum/showthread.php?t=1476319)

Servono veramente a poco i tuoi interventi del te l'avevo detto. Se vuoi essere veramente d'aiuto potersti guardare il secondo log e dire se è a posto oppure no.
disattento (oltre che presuntuoso): http://www.hwupgrade.it/forum/showpost.php?p=20480803&postcount=11
Pensi di aver risolto il problema fixando quella voce?.
Anche se analizzassi il secondo log, la tua situazione non si sposterebbe di una virgola: eri infetto prima e lo sei ancora.
Ora fai un pò tu che sai: sul forum esiste una Guida specifica per inziare ad analizzare lo stato del proprio P.C.

disattento (oltre che presuntuoso): http://www.hwupgrade.it/forum/showpost.php?p=20480803&postcount=11
Pensi di aver risolto il problema fixando quella voce?.
Anche se analizzassi il secondo log, la tua situazione non si sposterebbe di una virgola: eri infetto prima e lo sei ancora.
Ora fai un pò tu che sai: sul forum esiste una Guida specifica per inziare ad analizzare lo stato del proprio P.C.

Il secondo log è di un altro computer sul quale è stato aperto il file in oggetto. Però a me non sembra infetto, almeno non è infettato dallo stesso virus del primo pc. Infatti sul primo pc la causa dell'infezione è sicuramente un altra.
Ho provveduto a leggere la guida alla disinfezione che consigliava murak e sono arrivato alla scansione con a-squarred senza trovare nessun segno di infezione. Scansioni on line ne ho fatte 4 e tutte mi hanno dato esito negativo.
La scansione con hijackthis l'ho postata e una volta fixata la voce che dicevi non si è più presentata.
Quando torno a casa provvederò a fare l'ultimo passaggio con prevcsi.

Ora non so più che fare francamente in quanto mi sembra di avere seguito tutti i passi della guida. Come faccio a questo punto a togliere l'infezione che dici?

Grazie e a presto.

Pierpippo.

xò prevx csi lo potevi fare girare prima....considerando che è un ottimo rilevatore di malware....attendiamo questo log...

Ho fatto girare prevx csi e questo è il log:

prevxcsi log.txt - 0.57MB (http://www.zshare.net/download/6377409ed8072d/)

Mi dice che sono pulito.
Possibile che sia bastato fare un fix alla voce incriminata da hijackthis per debellare l'infezione?

grazie dell'aiuto.

Pierpippo.

up

a modo tuo la guida l'hai seguita, hai postato solo il log di prevx csi e nn emerge nulla.....nn so che dirti
ciao

a modo tuo la guida l'hai seguita, hai postato solo il log di prevx csi e nn emerge nulla.....nn so che dirti
ciao

Questo è il log nuovo hijackthis ti sembra pulito?

Quale altro log file devo postare?
grazie dell'aiuto.

pierpippo

In questo log emergono 1 applicazione sconosciuta e qualche indirizzo IP che dovresti controllare...
O4 - HKLM\..\Run: [DSLAGENTEXE] "DSLAGENT.EXE" USB
O17 - HKLM\System\CCS\Services\Tcpip\..\{244E77A5-F458-44AA-8FAD-DFE29E7CD043}: NameServer = 195.130.224.18,195.130.225.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{742421CA-B6A6-4937-B301-A0A7B3D8470D}: NameServer = 195.130.224.18,195.130.225.129

In questo log emergono 1 applicazione sconosciuta e qualche indirizzo IP che dovresti controllare...
O4 - HKLM\..\Run: [DSLAGENTEXE] "DSLAGENT.EXE" USB
O17 - HKLM\System\CCS\Services\Tcpip\..\{244E77A5-F458-44AA-8FAD-DFE29E7CD043}: NameServer = 195.130.224.18,195.130.225.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{742421CA-B6A6-4937-B301-A0A7B3D8470D}: NameServer = 195.130.224.18,195.130.225.129

Ciao gli ip sono i dns di tiscali. e il dsl agent è il programma di gestione del modem adsl.
Quindi non dovrebbero esserci altri problemi.

Grazie dei consigli.

Pierpippo.