Avira Antivirus 9/10 - Pagina 79

oineg · 26-01-2008, 11:59

Questa mattina Antivir mi ha riservato questa sfilza di detention:

C:\Programmi\InstallShield Installation Information\{827289F5-B44F-4E49-9993-840741585A62}\Setup.ilg
[DETECTION] Contains detection pattern of the exploits EXP/Office.Dropper.Gen
[INFO] A backup was created as '480ef15e.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP28\A0003396.exe
[DETECTION] Contains detection pattern of the dropper DR/QuickBatch.Gen
[INFO] A backup was created as '47caf30a.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP29\A0003462.exe
[DETECTION] Contains detection pattern of the dropper DR/QuickBatch.Gen
[INFO] A backup was created as '47caf30c.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP29\A0003509.exe
[DETECTION] Contains detection pattern of the dropper DR/QuickBatch.Gen
[INFO] A backup was created as '47caf310.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP71\A0009138.exe
[DETECTION] Contains detection pattern of the dropper DR/QuickBatch.Gen
[INFO] A backup was created as '47caf362.qua' ( QUARANTINE )
[INFO] The file was deleted!
C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP71\A0009139.ilg
[DETECTION] Contains detection pattern of the exploits EXP/Office.Dropper.Gen
[INFO] A backup was created as '47caf363.qua' ( QUARANTINE )
[INFO] The file was deleted!

--------
Mi interessa sapere qualcosa sulla prima voce: C:\Programmi\InstallShield ....... L'eliminazione (ora quarantena) può provocare problemi a qualche programma.

Tutti le altre segnalazioni riguardano C:\System Volume Information (anche in quarantena), che provvederò a cancellare.

Grazie mille

juninho85 · 26-01-2008, 13:12

Quote:

Originariamente inviato da miz86miz

voi cosa mi consigliate....antivir personal edition prenium o classic?

premium,senza dubbio

Quote:

Originariamente inviato da oineg

Mi interessa sapere qualcosa sulla prima voce: C:\Programmi\InstallShield ....... L'eliminazione (ora quarantena) può provocare problemi a qualche programma.
e

fallo analizzare su virustotal

miz86miz · 26-01-2008, 13:23

mi potreste spiegare le differenze tra il classic e il premium?

juninho85 · 26-01-2008, 13:27

leggere i primi post no?!

miz86miz · 26-01-2008, 13:28

mi dici dove..sn nuovo e nn ne capisco molto

juninho85 · 26-01-2008, 13:29

Quote:

Originariamente inviato da miz86miz

mi dici dove..sn nuovo e nn ne capisco molto

ovviamente in questa discussione,dove sennò?!

miz86miz · 26-01-2008, 13:46

ho letto ma più o meno sn simili..ci sn sl piccole differenze o no?niente di sostanziale?

oineg · 26-01-2008, 13:53

Quote:

Originariamente inviato da juninho85

premium,senza dubbio

fallo analizzare su virustotal

Mi potresti dire come fare a far esaminare un file dalla quarantena visto che il file è stato eliminato? Infatti ho messo l'opzione rapair e in subordine delete; non vorrei ripristinare per far esaminare il file da virustotal. Grazie

juninho85 · 26-01-2008, 13:57

avevi spuntato "quarantine before action"?se si ripristinalo e fallo scansionare

oineg · 26-01-2008, 14:03

Quote:

Originariamente inviato da juninho85

avevi spuntato "quarantine before action"?se si ripristinalo e fallo scansionare

Allora devo mettere ignore al posto di delete per fare quest'operazione altrimenti guard,che è impostato su delete, me lo elimina subito.

oineg · 26-01-2008, 15:06

@juninho85
La questione sta in questi termini: con virustotal nemmeno Antivir lo vede come virus (Virustotal però è aggiornato a AntiVir 7.6.0.53 - 2008.01.25) mentre la versione aggiornata è (Search engine avewin32.dll 7.06.00.56 25/01/2008 Virus definition file antivir.vdf 7.00.02.50 25/01/2008)
Non mi è chiara la cosa (Virustotal non sembra aggiornato all'ultima versione o mi sbaglio?)
Con Virustotal solo l'antivirus Webwasher-Gateway rileva Exploit.Office.Dropper.Gen Informazioni. Per il momento mando di nuovo in quarantena.

GmG · 26-01-2008, 15:24

l' EXP/Office.Dropper.Gen è stato inserito con l'aggiornamento 7.6.0.56 dell'engine.

http://forum.avira.com/thread.php?threadid=32925

A volte capita che Virus non sia aggiornato

Webwasher-Gateway è basato su antivir per questo è rilevato come Exploit.Office.Dropper.Gen

penso che sia un falso positivo, prova ad inviarlo ad AVIRA

http://analysis.avira.com/samples/index.php

Selezionando File type: -> False Positive Suspicion

Il Castiglio · 26-01-2008, 15:40

Quote:

Originariamente inviato da oineg

Questa mattina Antivir mi ha riservato questa sfilza di detention:

C:\Programmi\InstallShield Installation Information\{827289F5-B44F-4E49-9993-840741585A62}\Setup.ilg
[DETECTION] Contains detection pattern of the exploits EXP/Office.Dropper.Gen
[INFO] A backup was created as '480ef15e.qua' ( QUARANTINE )
[INFO] The file was deleted!

Proviamo a ragionare:
nella cartella InstallShield sono contenute le copie di backup dei file di installazione di alcuni programmi che tu hai installato, quindi se tu entri nella cartella incriminata e lanci il setup.exe che si trova lì dentro (e che Avira, leggendo il log, non sembra aver eliminato), puoi capire di che programma stiamo parlando.
Ovviamente una volta che hai visto il nome del programma puoi interrompere l'installazione e ragionare sul programma:
se l'hai installato volutamente, se ti serve o meno, ecc. ...

juninho85 · 26-01-2008, 15:48

potrebbero essere driver intel per portatili acer

oineg · 26-01-2008, 15:55

Quote:

Originariamente inviato da GmG

l' EXP/Office.Dropper.Gen è stato inserito con l'aggiornamento 7.6.0.56 dell'engine.

http://forum.avira.com/thread.php?threadid=32925

A volte capita che Virus non sia aggiornato

Webwasher-Gateway è basato su antivir per questo è rilevato come Exploit.Office.Dropper.Gen

penso che sia un falso positivo, prova ad inviarlo ad AVIRA

http://analysis.avira.com/samples/index.php

Selezionando File type: -> False Positive Suspicion

Il responso è questo
A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
3654408 Setup.ilg 41 KB MALWARE

Please find a detailed report concerning each individual sample below:
Filename Result
Setup.ilg MALWARE

The file 'Setup.ilg' has been determined to be 'MALWARE'. Our analysts named the threat EXP/Office.Dropper.Gen. The term "EXP/" denotes malware that is able to detect and use certain security vulnerabilities whereby the attacker can get control of the system.This malware is detected by a special detection routine from the engine module.
Please note that you will receive an email which will contain the results shown above. In case the final outcome of the analysis is not yet finished for all files the notification will be sent once ready.

oineg · 26-01-2008, 15:59

Quote:

Originariamente inviato da Il Castiglio

Proviamo a ragionare:
nella cartella InstallShield sono contenute le copie di backup dei file di installazione di alcuni programmi che tu hai installato, quindi se tu entri nella cartella incriminata e lanci il setup.exe che si trova lì dentro (e che Avira, leggendo il log, non sembra aver eliminato), puoi capire di che programma stiamo parlando.
Ovviamente una volta che hai visto il nome del programma puoi interrompere l'installazione e ragionare sul programma:
se l'hai installato volutamente, se ti serve o meno, ecc. ...

L'altro file è setup.inx e non exe. Si tratta lo stesso di un eseguibile?

oineg · 26-01-2008, 16:32

@Il Castiglio
setup.inx non si apre (non è un eseguibile). Risulta dalla ricerca file sconosciuto.

miz86miz · 26-01-2008, 17:12

quando vado a cliccare su "start update"nn mi parte il download...
e mi dice "no valid license file available" "more information in the report file"
cos'è???HELP

murack83pa · 26-01-2008, 17:58

Quote:

Originariamente inviato da miz86miz

quando vado a cliccare su "start update"nn mi parte il download...
e mi dice "no valid license file available" "more information in the report file"
cos'è???HELP

hai scaricato la versione premium, quella che era in promozione?

se è si, nn vale piu, quindi puoi disinstallare la versione premium e mettere quella free

leolas · 26-01-2008, 18:05

Quote:

Originariamente inviato da murack83pa

hai scaricato la versione premium, quella che era in promozione?

se è si, nn vale piu, quindi puoi disinstallare la versione premium e mettere quella free

non vale più la promozione?

26-01-2008, 17:12	#1578
miz86miz Senior Member Iscritto dal: Jan 2008 Messaggi: 467	INFO quando vado a cliccare su "start update"nn mi parte il download... e mi dice "no valid license file available" "more information in the report file" cos'è???HELP

26-01-2008, 11:59	#1561
oineg Senior Member Iscritto dal: Aug 2004 Città: Milano Messaggi: 1268	Questa mattina Antivir mi ha riservato questa sfilza di detention: C:\Programmi\InstallShield Installation Information\{827289F5-B44F-4E49-9993-840741585A62}\Setup.ilg [DETECTION] Contains detection pattern of the exploits EXP/Office.Dropper.Gen [INFO] A backup was created as '480ef15e.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP28\A0003396.exe [DETECTION] Contains detection pattern of the dropper DR/QuickBatch.Gen [INFO] A backup was created as '47caf30a.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP29\A0003462.exe [DETECTION] Contains detection pattern of the dropper DR/QuickBatch.Gen [INFO] A backup was created as '47caf30c.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP29\A0003509.exe [DETECTION] Contains detection pattern of the dropper DR/QuickBatch.Gen [INFO] A backup was created as '47caf310.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP71\A0009138.exe [DETECTION] Contains detection pattern of the dropper DR/QuickBatch.Gen [INFO] A backup was created as '47caf362.qua' ( QUARANTINE ) [INFO] The file was deleted! C:\System Volume Information\_restore{1A2B3C4D-5E6F-7G8H-9I1L-MERC25042006}\RP71\A0009139.ilg [DETECTION] Contains detection pattern of the exploits EXP/Office.Dropper.Gen [INFO] A backup was created as '47caf363.qua' ( QUARANTINE ) [INFO] The file was deleted! -------- Mi interessa sapere qualcosa sulla prima voce: C:\Programmi\InstallShield ....... L'eliminazione (ora quarantena) può provocare problemi a qualche programma. Tutti le altre segnalazioni riguardano C:\System Volume Information (anche in quarantena), che provvederò a cancellare. Grazie mille

26-01-2008, 13:23	#1563
miz86miz Senior Member Iscritto dal: Jan 2008 Messaggi: 467	mi potreste spiegare le differenze tra il classic e il premium?

26-01-2008, 13:27	#1564
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	leggere i primi post no?!

26-01-2008, 13:28	#1565
miz86miz Senior Member Iscritto dal: Jan 2008 Messaggi: 467	mi dici dove..sn nuovo e nn ne capisco molto

26-01-2008, 13:46	#1567
miz86miz Senior Member Iscritto dal: Jan 2008 Messaggi: 467	ho letto ma più o meno sn simili..ci sn sl piccole differenze o no?niente di sostanziale?

26-01-2008, 13:57	#1569
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	avevi spuntato "quarantine before action"?se si ripristinalo e fallo scansionare

26-01-2008, 15:06	#1571
oineg Senior Member Iscritto dal: Aug 2004 Città: Milano Messaggi: 1268	@juninho85 La questione sta in questi termini: con virustotal nemmeno Antivir lo vede come virus (Virustotal però è aggiornato a AntiVir 7.6.0.53 - 2008.01.25) mentre la versione aggiornata è (Search engine avewin32.dll 7.06.00.56 25/01/2008 Virus definition file antivir.vdf 7.00.02.50 25/01/2008) Non mi è chiara la cosa (Virustotal non sembra aggiornato all'ultima versione o mi sbaglio?) Con Virustotal solo l'antivirus Webwasher-Gateway rileva Exploit.Office.Dropper.Gen Informazioni. Per il momento mando di nuovo in quarantena.

26-01-2008, 15:24	#1572
GmG Senior Member Iscritto dal: Aug 2006 Città: Riviera del Brenta Messaggi: 2052	l' EXP/Office.Dropper.Gen è stato inserito con l'aggiornamento 7.6.0.56 dell'engine. http://forum.avira.com/thread.php?threadid=32925 A volte capita che Virus non sia aggiornato Webwasher-Gateway è basato su antivir per questo è rilevato come Exploit.Office.Dropper.Gen penso che sia un falso positivo, prova ad inviarlo ad AVIRA http://analysis.avira.com/samples/index.php Selezionando File type: -> False Positive Suspicion

26-01-2008, 15:48	#1574
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	potrebbero essere driver intel per portatili acer

26-01-2008, 16:32	#1577
oineg Senior Member Iscritto dal: Aug 2004 Città: Milano Messaggi: 1268	@Il Castiglio setup.inx non si apre (non è un eseguibile). Risulta dalla ricerca file sconosciuto.

Strumenti
Mostra una versione stampabile Invia questa pagina per email