PDA

Visualizza versione completa : virus in c\windows\driver.cab..??!!..



p060477
29-08-10, 23: 22
ciao!
la quotidiana scan con antivir free mi ha rilevato:
C:\WINDOWS\Driver Cache\i386\driver.cab
[0] Tipo di archivio: CAB (Microsoft)
--> epnutx22.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
--> eqndiag.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
--> eqnlogr.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
--> eqnloop.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen


..io ho messo tutto in quarantena..

Avvio della disinfezione:
C:\WINDOWS\Driver Cache\i386\driver.cab
[NOTA] Il file è stato spostato in quarantena con il nome '4ce3c4be.qua'!


ma cosa puo' essere stato..??!!

puo' darsi un falso positivo..??!!

..perche' non ho scaricato niente oggi..ne ho visitato siti..

grazie mille!!

luca

LadyHawke
30-08-10, 09: 40
Dubito molto si tratti di un virus, dato che stiamo parlando d un file compresso appartenente all'installazione di windows: piuttosto credo che l'euristica di Avira abbia messo gli occhi addosso al tipo di compressione del file, ritenendolo potenzialmente dannoso.

Lascialo in quarantena e non lo cancellare, se come credo è un bug verrà corretto con i prossimi aggiornamenti e potrai reintegrarlo.

Se non lo avessi messo in quarantena avresti potuto facilmente verificare con la data di creazione del file: se non era recente avrebbe significato che il file era quello originario copiato da windows durante l'installazione e non era stato modificato da nessun virus


:bai

p060477
30-08-10, 10: 12
ciao ladyhawke!
innanzitutto grazie!

1)cosa puo' accadere se lo elimino..??..mi si impalla windows xp pro ed serv pack 3..?

2)..perche' se non lo potessi eliminare e magari ci fosse entrato un virus come lo elimino il virus..?

3)la prova che mi dici posso sempre farla andando in quarantena e riattivando il file..e poi da propieta' vedere la creazione..cosa ne pensi..?

4)..ma anche ora che e' in quarantena,se fosse un file fondamentale di win xp,come fa ad andare ugualmente il pc..?

..perdona il livello delle mie domanda..!!

ancora grazie!!

luca

Kirk78
01-09-10, 11: 37
Nella cartella C:\WINDOWS\Driver Cache\i386 ci sono le copie dei driver utilizzati. Al massimo il sistema ti chiederà di inserire il CD.
:bai

Edit: Per i possibili falsi positivi di Avira Antivir esiste anche un link per far fare l'analisi del file a loro: Suspicious Files and Miscellaneous Uploads (http://analysis.avira.com/samples/)

p060477
01-09-10, 12: 21
ciao kirk78!
innanzitutto grazie!!

2)..perche' se non lo potessi eliminare e magari ci fosse entrato un virus come lo elimino il virus..?

3)la prova che mi dici posso sempre farla andando in quarantena e riattivando il file..e poi da propieta' vedere la creazione..cosa ne pensi..?

Kirk78
01-09-10, 12: 34
Almeno per quanto ne so, puoi anche farne a meno essendo una copia. Si trova anche o sul CD o sulla cartella i386 del service pack. Eviterei anche di fare delle prove.
:bai

p060477
01-09-10, 13: 17
ciao e grazie!
..quindi potrei anche rimetterle dove erano riattivando i file dalla quarantena di antivir..?

Armandillo
01-09-10, 13: 37
:bai

Io lo cancellerei e poi lo ripristinerei col comando: sfc /scannow inserendo il cd originale
Il comando controlla e ripristina ogni file originale di windows che dovesse essere cambiato o corrotto

Kirk78
01-09-10, 14: 13
Io addirittura non farei nulla. Lo lasci in quarantena. Se vedi che ti viene chiesto prova a rimetterlo e rifai la scansione con Avira (se era un falso positivo se ne accorgono) o mandalo al link di avira per l'analisi. Intanto ripeto che è solo una copia.
:bai

wrongway
01-09-10, 14: 40
andando a memoria (non ho più avira sul pc) se le definizioni non sono state aggiornate per escludere quel file mi sa che per poterlo ripristinare dalla quarantena devi prima disabilitare la protezione in tempo reale (AVGuard), ripristinare quel file, quindi metterlo nelle esclusioni sia della protezione in tempo reale sia della scansione, altrimenti te lo segnalerà ogni volta che farai la scansione o quando accederai a quella cartella (se non sai come fare, nell'help del programma ci dovrebbe essere senz'altro spiegata la procedura per eseguire tutte quelle operazioni) - terminato tutto ciò riattivi la protezione in tempo reale

comunque io come già suggerito lo segnaleri ad avira come "sospetto falso positivo"...

Kirk78
01-09-10, 15: 04
Io ho Avira free e se ripristini un file messo in quarantena per errore (loro o tuo), e non hai settato l'invio automatico in quarantena basta che al successivo alert gli dici di non fare nulla. Ovviamente se si sono accorti che era un errore non arriverà neanche più l'alert. Facci sapere se hai mandato il file all'analisi.
:bai

chrix
01-09-10, 17: 09
..perche' non ho scaricato niente oggi..ne ho visitato siti..



i malware si beccano imho anche stando semplicemente connessi in rete e non facendo apparentemente nulla :triste

p060477
02-09-10, 08: 50
ciao e grazie!
..ma per segnalarlo ad avira devo uploadarglielo..quindi prima dovrei ripristinare i file dalla quarantena al mio pc..o sbaglio..??
luca

Kirk78
02-09-10, 13: 07
Vero. Quindi io lascerei le cose così. Ho imparato a non modificare le cose se vanno bene :oo2 :bai

p060477
02-09-10, 13: 27
ok!!
faro' cosi'!!

Kirk
05-09-10, 23: 24
i malware si beccano imho anche stando semplicemente connessi in rete e non facendo apparentemente nulla :triste

no, non credo..oppure se lo becchi, qualcosa non andava nella protezione o era già presente nel disco fisso.
Ipotesi comunque piuttosto generica, che esclude un attacco diretto alla tua persona, non comunque in senso generale.
Considerazione personale ovvio.

p060477
06-09-10, 09: 26
sono daccordissimo con te Kirk!
..di fatti il 3d l'ho iniziato scrivendo addirittura che "non ero andato in internet"..
avevo semplicemente acceso il pc e lavorato su alcuni files che ho..per cui..
grazie mille di tutto!!

luca