virus in c\windows\driver.cab..??!!..

[p060477]

ciao!
la quotidiana scan con antivir free mi ha rilevato:
C:\WINDOWS\Driver Cache\i386\driver.cab
[0] Tipo di archivio: CAB (Microsoft)
--> epnutx22.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
--> eqndiag.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
--> eqnlogr.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
--> eqnloop.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen


..io ho messo tutto in quarantena..

Avvio della disinfezione:
C:\WINDOWS\Driver Cache\i386\driver.cab
[NOTA] Il file è stato spostato in quarantena con il nome '4ce3c4be.qua'!


ma cosa puo' essere stato..??!!

puo' darsi un falso positivo..??!!

..perche' non ho scaricato niente oggi..ne ho visitato siti..

grazie mille!!

luca

[LadyHawke]

Dubito molto si tratti di un virus, dato che stiamo parlando d un file compresso appartenente all'installazione di windows: piuttosto credo che l'euristica di Avira abbia messo gli occhi addosso al tipo di compressione del file, ritenendolo potenzialmente dannoso.

Lascialo in quarantena e non lo cancellare, se come credo è un bug verrà corretto con i prossimi aggiornamenti e potrai reintegrarlo.

Se non lo avessi messo in quarantena avresti potuto facilmente verificare con la data di creazione del file: se non era recente avrebbe significato che il file era quello originario copiato da windows durante l'installazione e non era stato modificato da nessun virus

[p060477]

ciao ladyhawke!
innanzitutto grazie!

1)cosa puo' accadere se lo elimino..??..mi si impalla windows xp pro ed serv pack 3..?

2)..perche' se non lo potessi eliminare e magari ci fosse entrato un virus come lo elimino il virus..?

3)la prova che mi dici posso sempre farla andando in quarantena e riattivando il file..e poi da propieta' vedere la creazione..cosa ne pensi..?

4)..ma anche ora che e' in quarantena,se fosse un file fondamentale di win xp,come fa ad andare ugualmente il pc..?

..perdona il livello delle mie domanda..!!

ancora grazie!!

luca

[Kirk78]

Nella cartella C:\WINDOWS\Driver Cache\i386 ci sono le copie dei driver utilizzati. Al massimo il sistema ti chiederà di inserire il CD.


Edit: Per i possibili falsi positivi di Avira Antivir esiste anche un link per far fare l'analisi del file a loro: Suspicious Files and Miscellaneous Uploads

[p060477]

ciao kirk78!
innanzitutto grazie!!

2)..perche' se non lo potessi eliminare e magari ci fosse entrato un virus come lo elimino il virus..?

3)la prova che mi dici posso sempre farla andando in quarantena e riattivando il file..e poi da propieta' vedere la creazione..cosa ne pensi..?

[Kirk78]

Almeno per quanto ne so, puoi anche farne a meno essendo una copia. Si trova anche o sul CD o sulla cartella i386 del service pack. Eviterei anche di fare delle prove.

[p060477]

ciao e grazie!
..quindi potrei anche rimetterle dove erano riattivando i file dalla quarantena di antivir..?

[Armandillo]

Io lo cancellerei e poi lo ripristinerei col comando: sfc /scannow inserendo il cd originale
Il comando controlla e ripristina ogni file originale di windows che dovesse essere cambiato o corrotto

[Kirk78]

Io addirittura non farei nulla. Lo lasci in quarantena. Se vedi che ti viene chiesto prova a rimetterlo e rifai la scansione con Avira (se era un falso positivo se ne accorgono) o mandalo al link di avira per l'analisi. Intanto ripeto che è solo una copia.

[wrongway]

andando a memoria (non ho più avira sul pc) se le definizioni non sono state aggiornate per escludere quel file mi sa che per poterlo ripristinare dalla quarantena devi prima disabilitare la protezione in tempo reale (AVGuard), ripristinare quel file, quindi metterlo nelle esclusioni sia della protezione in tempo reale sia della scansione, altrimenti te lo segnalerà ogni volta che farai la scansione o quando accederai a quella cartella (se non sai come fare, nell'help del programma ci dovrebbe essere senz'altro spiegata la procedura per eseguire tutte quelle operazioni) - terminato tutto ciò riattivi la protezione in tempo reale

comunque io come già suggerito lo segnaleri ad avira come "sospetto falso positivo"...