Files alquanto sospettosi... mi date un parere?

GT82 · 07-01-2009, 23:19

Riguardo PowerDVD 8 è normale che al lancio del programma partano anche altri processi?
ad esempio questi nomi:

- CLDrvChk.exe
- OLRStateCheck.exe
- CLHelper.exe

inoltre in C:\Documents and Settings\Nome utente\Dati applicazioni\Thinstall\Cyberlink PowerDVD 8 ho una serie di cartelle con nomi tipo completamente numerici contenenti tral'altro dei file .exe relativi a driver Intel o Nvidia (o perlomeno hanno lo stesso nome) oltre ai 3 files citati sopra
questi sono gli altri nomi

- igfxext.exe
- igfxsrvc.exe (questo si avvia da solo nonostante sia attivo di default all'avvio del pc un file con lo stesso identico nome ma collocato in windows/system32)

siccome so che i malware spesso assumono il nome di file conosciuti in modo da camuffarsi mi è venuto il sospetto, avvalorato ancora di più dal fatto che tutti questi .exe hanno esattamente la stessa grandezza, cioè 199 kb

sul pc ho Avira Antivir che non mi ha rilevato nulla

ho fatto la scansione di questi files online con VirusTotal

per tutti il risultato è identico, e cioè su 39 software utilizzati da VirusTotal appunto, 4 li identificano come "suspicious" (Cat-QuickHeal, eSafe, Panda, Securweb-Gateway)
quest'ultimo si spinge oltre, identificandolo come "Win32.Malware.gen!92"

per tutti gli altri software (35) va tutto bene

come mi devo comportare?

grazie

wjmat · 08-01-2009, 08:22

ciao

potrebbe essere normale ci siano file strani nella cartella dove il programma è stato "Thinstallalto"

fai controllare i file sospetti anche su http://virscan.org/
e poi ci segnali tutti i link di entrambi i file

GT82 · 08-01-2009, 09:26

Con VirScan i risultati sono questi

--> http://virscan.org/report/3e0e3c4d53...84d3b3b80.html

--> http://virscan.org/report/f6ec6b9734...38d158fb1.html

e non solo per questi due files ma anche per tutti gli altri citati sopra

**Chill-Out** · 08-01-2009, 09:32

Falsi positivi

GT82 · 09-01-2009, 10:45

Grazie

**Chill-Out** · 09-01-2009, 10:54

Prego

07-01-2009, 23:19	#1
GT82 Senior Member Iscritto dal: Nov 2002 Messaggi: 3076	Files alquanto sospettosi... mi date un parere? Riguardo PowerDVD 8 è normale che al lancio del programma partano anche altri processi? ad esempio questi nomi: - CLDrvChk.exe - OLRStateCheck.exe - CLHelper.exe inoltre in C:\Documents and Settings\Nome utente\Dati applicazioni\Thinstall\Cyberlink PowerDVD 8 ho una serie di cartelle con nomi tipo completamente numerici contenenti tral'altro dei file .exe relativi a driver Intel o Nvidia (o perlomeno hanno lo stesso nome) oltre ai 3 files citati sopra questi sono gli altri nomi - igfxext.exe - igfxsrvc.exe (questo si avvia da solo nonostante sia attivo di default all'avvio del pc un file con lo stesso identico nome ma collocato in windows/system32) siccome so che i malware spesso assumono il nome di file conosciuti in modo da camuffarsi mi è venuto il sospetto, avvalorato ancora di più dal fatto che tutti questi .exe hanno esattamente la stessa grandezza, cioè 199 kb sul pc ho Avira Antivir che non mi ha rilevato nulla ho fatto la scansione di questi files online con VirusTotal per tutti il risultato è identico, e cioè su 39 software utilizzati da VirusTotal appunto, 4 li identificano come "suspicious" (Cat-QuickHeal, eSafe, Panda, Securweb-Gateway) quest'ultimo si spinge oltre, identificandolo come "Win32.Malware.gen!92" per tutti gli altri software (35) va tutto bene come mi devo comportare? grazie

08-01-2009, 08:22	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ciao potrebbe essere normale ci siano file strani nella cartella dove il programma è stato "Thinstallalto" fai controllare i file sospetti anche su http://virscan.org/ e poi ci segnali tutti i link di entrambi i file __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

08-01-2009, 09:32	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Falsi positivi __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

09-01-2009, 10:54	#6
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Prego __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

08-01-2009, 09:26	#3
GT82 Senior Member Iscritto dal: Nov 2002 Messaggi: 3076	Con VirScan i risultati sono questi --> http://virscan.org/report/3e0e3c4d53...84d3b3b80.html --> http://virscan.org/report/f6ec6b9734...38d158fb1.html e non solo per questi due files ma anche per tutti gli altri citati sopra

09-01-2009, 10:45	#5
GT82 Senior Member Iscritto dal: Nov 2002 Messaggi: 3076	Grazie

Strumenti
Mostra una versione stampabile Invia questa pagina per email