Positivi o ... falsi?

AlexGOD · 30-04-2010, 17:58

Salve a tutti.
In uno dei miei soliti controlli periodici, Spybot S&D ha trovato una minaccia:
"Win32.Agent.fbx"

Ho letto tutta la guida per infetti ed eseguito le istruzioni nell'ordine consigliato (talvolta ho anche raddoppiato la dose, come nel caso del rilevatore di rootkit dove a gmer ho aggiunto blacklight di fsecure).
La maggior parte dei software non ha trovato niente, qualcuno ha trovato una sfilza di falsi positivi e qualcuno forse qualcosa.
Ho proprio bisogno del parere di qualcuno più esperto!

Codice:

a2scan_100429-204842.txt

cureit filtrato.txt

fsonlinescanner_report.html

gmer 30-04-10.log

hijackthis.log

mbam-log-2010-04-29 (20-19-58).txt

prevx.log

Schermata Prevx.PNG

SpybotSD.Report.txt

SysInspector-YOUR-DEL1NWTB3O-100430-1657.xml

Grazie

**Chill-Out** · 30-04-2010, 18:49

Gli unici files che necessitano di un ulteriore controllo sono i seguenti, abilita la visualizzazione dei files nascosti

Quote:

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

controlla su http://virscan.org/ e http://www.virustotal.com/it/ i seguenti files:

uti1nzi3.sys che trovi in c:\windows\system32\drivers\
synctrl.dll che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

PS: a parte questo che non dovrebbe essere presente sul PC in quanto esistono ottime alternative Free
C:\PROGRAMMI\WINRAR\WINRARKEYGEN.EXE

AlexGOD · 30-04-2010, 19:12

Subito un grazie per la pronta e chiara risposta

Per quanto riguarda il file uti1nzi3.sys in c:\windows\system32\drivers\ i risultati sono:

http://virscan.org

http://www.virustotal.com/it/

mentre per il file synctrl.dll in c:\windows\system32\ :

http://virscan.org

http://www.virustotal.com/it

Sembrerebbe che il primo sia un bel po' sospetto, mentre il secondo sia innocuo. Mi sbaglio?
Cosa dovrei fare ora?

Grazie ancora per ogni suggerimento.

P.S. Scusa per la gaffe. Hai perfettamente ragione sul keygen: l'ho appena cancellato. Era un residuato (avrà almeno 6-7 anni) inutile, tanto uso 7-zip

**Chill-Out** · 30-04-2010, 19:17

I risultati inerenti synctrl.dll mi sembrano chiari, dal momento che A2/Ikarus lo rileva, aggiorna il programma e ripeti scansione completa.

Quote:

a-squared 4.5.0.50 2010.04.30 Trojan.Win32.Bagle!IK

AlexGOD · 30-04-2010, 20:14

Quote:

Originariamente inviato da Chill-Out

I risultati inerenti synctrl.dll mi sembrano chiari, dal momento che A2/Ikarus lo rileva, aggiorna il programma e ripeti scansione completa.

Ho fatto esattamente come mi avevi consigliato: aggiornato, ripetuto la scansione e messo in quarantena il trojan.

Posso stare tranquillo ora? O è necessaria qualche altra operazione post-disinfezione (oltre a quelle consigliate nella guida)?

Grazie ancora Chill-Out, sei stato gentilissimo.

**Chill-Out** · 01-05-2010, 20:04

Quote:

Originariamente inviato da AlexGOD

Ho fatto esattamente come mi avevi consigliato: aggiornato, ripetuto la scansione e messo in quarantena il trojan.

Posso stare tranquillo ora? O è necessaria qualche altra operazione post-disinfezione (oltre a quelle consigliate nella guida)?

Grazie ancora Chill-Out, sei stato gentilissimo.

Direi che siamo ok, i suggerimenti del Trattamento post infezione non fanno certo male, buon proseguimento

AlexGOD · 01-05-2010, 20:09

Quote:

Originariamente inviato da Chill-Out

Direi che siamo ok, i suggerimenti del Trattamento post infezione non fanno certo male, buon proseguimento

Grazie ancora

**Chill-Out** · 01-05-2010, 21:10

Quote:

Originariamente inviato da AlexGOD

Grazie ancora

Prego

30-04-2010, 17:58	#1
AlexGOD Senior Member Iscritto dal: Mar 2003 Città: Napoli Messaggi: 320	Positivi o ... falsi? Salve a tutti. In uno dei miei soliti controlli periodici, Spybot S&D ha trovato una minaccia: "Win32.Agent.fbx" Ho letto tutta la guida per infetti ed eseguito le istruzioni nell'ordine consigliato (talvolta ho anche raddoppiato la dose, come nel caso del rilevatore di rootkit dove a gmer ho aggiunto blacklight di fsecure). La maggior parte dei software non ha trovato niente, qualcuno ha trovato una sfilza di falsi positivi e qualcuno forse qualcosa. Ho proprio bisogno del parere di qualcuno più esperto! Codice: a2scan_100429-204842.txt cureit filtrato.txt fsonlinescanner_report.html gmer 30-04-10.log hijackthis.log mbam-log-2010-04-29 (20-19-58).txt prevx.log Schermata Prevx.PNG SpybotSD.Report.txt SysInspector-YOUR-DEL1NWTB3O-100430-1657.xml Grazie __________________ Pcs are like air conditioners: they stop working when you open windows

30-04-2010, 19:12	#3
AlexGOD Senior Member Iscritto dal: Mar 2003 Città: Napoli Messaggi: 320	Subito un grazie per la pronta e chiara risposta Per quanto riguarda il file uti1nzi3.sys in c:\windows\system32\drivers\ i risultati sono: http://virscan.org http://www.virustotal.com/it/ mentre per il file synctrl.dll in c:\windows\system32\ : http://virscan.org http://www.virustotal.com/it Sembrerebbe che il primo sia un bel po' sospetto, mentre il secondo sia innocuo. Mi sbaglio? Cosa dovrei fare ora? Grazie ancora per ogni suggerimento. P.S. Scusa per la gaffe. Hai perfettamente ragione sul keygen: l'ho appena cancellato. Era un residuato (avrà almeno 6-7 anni) inutile, tanto uso 7-zip __________________ Pcs are like air conditioners: they stop working when you open windows

Strumenti
Mostra una versione stampabile Invia questa pagina per email