Il processo A0001039.exe è virus?

Sleepingtea · 30-04-2012, 11:28

ciao

,
una scansione di Norman Malware Cleaner mi ha rilevato questi:

C:\sistemvolumeinformation\restore...\RP1\A0001037.dll
C:\sistemvolumeinformation\restore....\RP1\A0001039.exe

E dice per entrambi: file infected with Patched.GY

Ho cercato un pò in rete, ma sul primo mi sembra d'aver trovato pareri contrastanti. Infatti in questi due link che seguono, uno lo assolve l'altro lo accusa:
http://www.xraymypc.com/process/A/A0001037.dll.htm
http://r.virscan.org/cd0180ca33eb65b43316ce42628dedad

Allora come stanno le cose secondo voi??

A proposito di A0001039.exe invece, frugando un pò ho trovato questo:
http://www.spywareremovaltoolkit.com...01039.CPY.html

che, se non ho capito male, dice che sarebbe un processo legittimo se si trovasse in C:\Windows|System32, ma dato che non è così (infatti è stato trovato in C:\sysVolumeInformation\etc.), dovrebbe trattarsi di un malware!
Dico bene???....

Se fosse importante, aggiungo che ho windows XPsp3.
Grazie vi saluto

xcdegasp · 30-04-2012, 23:02

anzicchè rispolverare un link di virscan.org del lontanissimo 2007 perchè non scansionarlo su quel sito e su virustotal.com ?
magari poi pubblica i relativi link per visualizzare la tabella dei risultati

Sleepingtea · 02-05-2012, 09:37

@ claudio
Veramente li ho già messi in quarantena, al termine della scansione con NormanMC, fatta in modalità normale e senza Ripristino disattivato. Comunque poi ho rifatto scansione con Avast e anche Malwarebytes (entrambi con ripristino disattivato) e non hanno trovato nulla!

@ xcdegasp
Scusa ma non so come si fa!?!

Infatti i file che stanno in C:\SystemVolumeInformation\Restore etc... , quando vai a cercarli spostandoti in C: non sono visibili, e quindi non puoi nemmeno caricarli su Virustotal per farli analizzare. Forse perchè nella cartella C:\SysVolinformation\Restore\etc. ci sono i file "duplicati" e parcheggiati nell'area di ripristino (correggimi se sbaglio...). Ma allora come si fa a visualizzarli, o inviarli a Virustotal???....

grazie a entrambi

xcdegasp · 03-05-2012, 13:07

disattiva il ripristino di configurazione che è solo un'inutile occupazione disco e il virus sparirà.
scusa ma che cos'è NormanMC?

Sleepingtea · 03-05-2012, 15:43

xcdegasp

Quote:

scusa ma che cos'è NormanMC?

sleepingtea

Quote:

ciao ,
una scansione di Norman Malware Cleaner mi ha rilevato questi:

...come dicevo al msg #4 rispondendo a [claudio], A0001039.exe e A0001037.dll sono già stati messi in quarantena dalla stessa scansione di NormanMC e quindi già spariti.
L'unica curiosità era di avere la conferma che quel processo 1039.exe e la libreria 1037.dll fossero veramente virus, magari inviandoli a virustotal...ma a quanto pare sono (erano) file "invisibili" situati nell'area di ripristino, e quindi non si possono caricare su virustotal.

ok, vabbè. grazie ciao

P.S.

...forse avrei dovuto intitolare questo thread "Attenti a quei due" !!?!!....

(A0001039.exe) &

(A0001037.dll).......

30-04-2012, 11:28	#1
Sleepingtea Member Iscritto dal: Jan 2010 Messaggi: 33	Il processo A0001039.exe è virus? ciao , una scansione di Norman Malware Cleaner mi ha rilevato questi: C:\sistemvolumeinformation\restore...\RP1\A0001037.dll C:\sistemvolumeinformation\restore....\RP1\A0001039.exe E dice per entrambi: file infected with Patched.GY Ho cercato un pò in rete, ma sul primo mi sembra d'aver trovato pareri contrastanti. Infatti in questi due link che seguono, uno lo assolve l'altro lo accusa: http://www.xraymypc.com/process/A/A0001037.dll.htm http://r.virscan.org/cd0180ca33eb65b43316ce42628dedad Allora come stanno le cose secondo voi?? A proposito di A0001039.exe invece, frugando un pò ho trovato questo: http://www.spywareremovaltoolkit.com...01039.CPY.html che, se non ho capito male, dice che sarebbe un processo legittimo se si trovasse in C:\Windows\|System32, ma dato che non è così (infatti è stato trovato in C:\sysVolumeInformation\etc.), dovrebbe trattarsi di un malware! Dico bene???.... Se fosse importante, aggiungo che ho windows XPsp3. Grazie vi saluto

30-04-2012, 23:02	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	anzicchè rispolverare un link di virscan.org del lontanissimo 2007 perchè non scansionarlo su quel sito e su virustotal.com ? magari poi pubblica i relativi link per visualizzare la tabella dei risultati __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

02-05-2012, 09:37	#3
Sleepingtea Member Iscritto dal: Jan 2010 Messaggi: 33	@ claudio Veramente li ho già messi in quarantena, al termine della scansione con NormanMC, fatta in modalità normale e senza Ripristino disattivato. Comunque poi ho rifatto scansione con Avast e anche Malwarebytes (entrambi con ripristino disattivato) e non hanno trovato nulla! @ xcdegasp Scusa ma non so come si fa!?! Infatti i file che stanno in C:\SystemVolumeInformation\Restore etc... , quando vai a cercarli spostandoti in C: non sono visibili, e quindi non puoi nemmeno caricarli su Virustotal per farli analizzare. Forse perchè nella cartella C:\SysVolinformation\Restore\etc. ci sono i file "duplicati" e parcheggiati nell'area di ripristino (correggimi se sbaglio...). Ma allora come si fa a visualizzarli, o inviarli a Virustotal???.... grazie a entrambi

03-05-2012, 13:07	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	disattiva il ripristino di configurazione che è solo un'inutile occupazione disco e il virus sparirà. scusa ma che cos'è NormanMC? __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 03-05-2012 alle 13:09.

Strumenti
Mostra una versione stampabile Invia questa pagina per email