Author Topic: Urgente dubbio falso positivo  (Read 5214 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Urgente dubbio falso positivo
« on: February 13, 2015, 06:55:05 PM »
buonasera

ho un problema riguardo una scansione completa del sistema effettuata stamattina con il mio Avast Free 2015.
da questa analisi è risultata essere presente nel mio Notebook Acer con Windows7 64bit una minaccia, denominata da Avast "win32:Agent-AVNN [Trj]", contrassegnata con severità elevata e presente al percorso "C:/program files(x86)/acer/welcome center/igoogle/resetIG.exe". Non sapendo di cosa si trattasse e sospettando magari un falso positivo ho optato, al termine dell'analisi, per non selezionare l'opzione "risolvi" ma di chiudere semplicemente la finestra e provare ad analizzare il sistema con Malwarebytes Anti-Malware, il quale non ha rilevato alcuna minaccia. Quindi ho riprovato ad analizzare il sistema per due volte ancora con Avast, che questa volta non ha rilevato la suddetta minaccia. Tuttavia, nella cronologia scansioni, nei dettagli relativi alla scansione Avast di stamattina, trovo, oltre al riferimento a tale minaccia, ancora presente la possibilità di risolvere e rimuovere il problema.

ciò mi crea un dubbio: le successive scansioni con Avast e Malwarebytes non hanno rilevato nulla perchè, come sospettavo, non è presente concretamente alcuna minaccia ma si tratta di un falso positivo, oppure Avast, con la prima scansione, ha in qualche modo "bloccato" tale virus, rendendolo "invisibile" quindi a successive analisi? Specifico che il virus non è presente nè nella quarantena nè vi è alcun cenno di tale minaccia rilevata nella sezione "stato componente" delle statistiche. Nella sezione della cronologia scansioni io ho ancora la possibilità di eliminare tale minaccia, come se effettivamente fosse ancora presente nel sistema, anche se le successive analisi non la rilevano. Quindi non capisco se il presunto virus sia da ritenersi ancora libero nel sistema, anche se non rilevato dalle analisi successive, o è in qualche modo "bloccato" dalla prima analisi di Avast.

Inoltre vorrei effettivamente capire se esiste un qualche rischio, se tale minaccia possa ritenersi concreta o se si tratti di un falso positivo magari noto. Online ho potuto vedere che il nome del tipo di minaccia scritto sopra è stato rilasciato dalla versione delle definizioni virus del giorno 12/02/15. Non riesco proprio a capire dove avrei potuto mai prendere tale virus, non avendo utilizzato granchè la connessione internet ultimamente, se non per connettermi su pochi siti decisamente sicuri, oltre al fatto che il pc non da alcun segno di problemi e quindi non capisco cosa potrebbe causare un virus del genere, riguardo cui non ho trovato dettagli online

Ringrazio moltissimo per l'attenzione e chiunque voglia concedermi qualche graditissima risposta o consiglio.
Grazie mille

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Urgente dubbio falso positivo
« Reply #1 on: February 13, 2015, 07:03:10 PM »
Ciao,
ma il file C:/program files(x86)/acer/welcome center/igoogle/resetIG.exe è ancora presente sotto quella cartella?
Prova a scansionare il file su https://www.virustotal.com/ e posta il link della pagina del risultato
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

REDACTED

  • Guest
Re: Urgente dubbio falso positivo
« Reply #2 on: February 14, 2015, 06:49:14 PM »
buonasera
innanzitutto grazie della risposta
ho provato ad analizzare con Avast direttamente il file, ancora presente nel percorso segnalato da Avast, e non è stata rilevata alcuna minaccia stavolta. Quindi ho provato ad inserirlo su VirusTotal, ottenendo l'esito seguente:
https://www.virustotal.com/it/file/ea387c22f9a2069df304aa733d51b03d0665ff32e57c43ff1332906b717c2b11/analysis/
sembrerebbe proprio trattarsi di un falso positivo insomma.
Ancora grazie mille per il consiglio e per l'aiuto.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Urgente dubbio falso positivo
« Reply #3 on: February 15, 2015, 10:19:35 AM »
Si probabilmente era un FP ed poi è stato sistemato con i successivi aggiornamenti

ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

REDACTED

  • Guest
Re: Urgente dubbio falso positivo
« Reply #4 on: February 22, 2015, 11:56:17 AM »
Buongiorno
ho eseguito una nuova analisi antivirus giovedì alle 11.00 e Avast! ha trovato un nuovo Win32:Malware-gen al percorso C://Program Files(x86)/Microsoft/Bing Bar/7.1.361.0/MUExe/7.1.361.0/BingBarSetup-Partner.EXE , quindi un file di Bing Bar con copyright Microsoft. Al termine dell'analisi, sospettando un nuovo falso positivo, ho scelto di non correggere automaticamente il problema ma di analizzare il sistema con Malwarebytes e con Kaspersky Virus Removal Tool (con cui ho analizzato anche il singolo file), che non hanno rilevato nulla di sospetto. Quindi ho provato a visualizzare le proprietà del suddetto file ma in quel momento è stato di nuovo bloccato da Avast come una minaccia, indicandolo sempre come un malware e spostandolo nel cestino dei virus.
Per capirci qualcosa in più ho ripristinato il file dal cestino e analizzato su Virustotal, con questo risultato:
https://www.virustotal.com/it/file/2cbb7875067792f6f08e6439fa7776c4fc0071c9736f11754a06594df1cfe25a/analysis/1424530069/

Ieri sui 57 antivirus con cui Virustotal ha analizzato il file solo Avast continuava a rilevarlo come malware, mentre gli altri antivirus non ci vedevano nulla di sospetto. Questo farebbe pensare ad un falso positivo, ma comunque trovo piuttosto affidabili i pareri di Avast e pertanto continuo ad essere sospettoso, ancor più visto che, analizzando ancora il file, Avast continua a segnalarlo ancora oggi come minaccia e, controllando oggi la pagina della scansione di Virustotal, ho visto che è stata aggiornata con l'analisi del file da parte di un altro utente e anche l'antivirus GData lo segnala come minaccia, Win32.Trojan.Agent.BJRVXJ , come si può vedere alla pagina:
https://www.virustotal.com/it/file/2cbb7875067792f6f08e6439fa7776c4fc0071c9736f11754a06594df1cfe25a/analysis/

Ieri pomeriggio ho provveduto anche ad inviare il file dal cestino al laboratorio Avast per farlo analizzare e vorrei magari sapere, se possibile, se è noto entro quanto vi sono da parte di Avast provvedimenti solitamente, per capire se effettivamente si tratti di un falso positivo oppure no.

Ho un altro dubbio. Avendo dovuto 3 volte ripristinare il file dal cestino per analizzarlo e poi doverlo reinserire nel cestino virus, mi ritrovo ad avere lo stesso file segnato nel cestno 4 volte, come se si trattasse di file diversi, visto che quando ripristinavo il file ricompariva nella cartella di origine ma comunque rimaneva sempre segnalato nel cestino, e ad ogni nuovo cestinamento veniva aggiunto come un file in più. è normale tale comportamento? Posso cancellare almeno 3 dei 4 file segnalati, in modo da poterne tenere solo uno da ripristinare in caso di falso positivo, o il cancellamento di uno causerebbe la perdita del file, essendo concretamente questo solo uno anche se Avast lo segna 4 volte?

Non capisco proprio da dove tale supposto virus possa essere giunto. Inoltre la data di creazione del file e della cartella coincide con la data in cui tale file mi è pervenuto da Windows Update con aggiornamenti di Bing Bar.

Mi scuso per essermi un pò dilungato ma non so cosa pensare riguardo questo file.
Ringrazio tantissimo per l'attenzione e per l'aiuto.

Offline Giony

  • Poster
  • *
  • Posts: 598
Re: Urgente dubbio falso positivo
« Reply #5 on: February 22, 2015, 12:05:21 PM »
nel caso di BingBar, come per ogni toolbar, io le toglierei tutte perchè quasi tutte alla fine sono delle adware:
- con avast fai un browser cleanup
- nelle installazioni applicazioni nel pannello di controllo, guarda nelle installazioni se hai delle toolbar installate e disinstallale
- fai una pulizia dei file e del registro con Ccleaner in modalità provvisoria (F8)


Per il secondo dubbio, crea una cartelle sul desktop e poi dal cestino di avast estrai quei file doppioni e falli mettere nella cartella creata e li vedi bene se sono doppioni.
Windows 10 Pro x64  -  Avast Internet Security 2016.11.2.2254  -  Mbam  -  HitmanPro  -  Ccleaner  -  Chrome

REDACTED

  • Guest
Re: Urgente dubbio falso positivo
« Reply #6 on: February 22, 2015, 03:43:43 PM »
Io attualmente non ho installata la Bing Toolbar, anche se sono presenti nel pc alcuni file relativi a tal programma. Immagino che questo abbia a che fare con la vecchia versione di IE che avevo, in seguito ad un ripristino del sistema, sul pc prima di passare alla versione 11 di Internet Explorer (essendo infatti tale file giunto tramite Windows Update in una data precedente a questo mio aggiornamento di Internet Explorer, che tra l'altro non utilizzo mai). Bing Toolbar non viene segnalata come installata nè da browser cleanup nè nella lista dei programmi installati sul pc, quindi presumo che il problema sia relativo al file in sè e non al programma "Bing Toolbar", che, come detto, non ho nemmeno installato.
Non riesco a capire se si possa trattare di un falso positivo, come potrebbe sembrare dall'analisi di Virustotal, oppure di una vera minaccia, considerando che Avast continua a segnalarlo come tale ormai da 4 giorni. Preciso che non ho alcun problema a livello di prestazioni del pc e non ho mai avuto prima d'ora alcun tipo di problema o segnalazione relativa a quel file da parte nè di Avast nè di alcun altro tipo di strumento, pur essendo tale file presente sul mio computer da molto tempo, come posso vedere dalla cronologia di Windows Update.
Non riuscirei inoltre proprio a capire come avrei potuto prendermi tale virus, dal momento che il mio comportamento è estremamente attento e prudente anche in questo ambito.