Wie prüfe ich auf falsch positiv?

5830
AndrejaKo

Sieht aus, als wäre ich von einem Virus infiziert worden, nämlich NSIS: Downloader-BX [Drp] in der Datei DpiSca.exe, aber ...

Ich besuchte keine üblichen verdächtigen Websites (Warez, Pr0n usw.) und niemand benutzte meinen Computer.

Ich bekomme keine üblichen Symptome .

Ich bin seit über fünf Jahren nicht mehr infiziert, also bin ich ziemlich zuversichtlich, dass ich weiß, wie ich auf mich aufpassen kann.

Ich kann im Internet keine Informationen über den Virus finden, mit dem ich infiziert bin.

Laut VirusTotal kann nur avast! hält es für einen Virus.

Sysinternals Process Explorer, das ein angesehenes Programm zu sein scheint, zeigt keine verdächtigen Prozesse.

Nach dem Ausführen des gründlichsten Scans in kostenlosem avast! mehrmals fand es keine Infektionen. Ich werde morgen den Computer eines Freundes säubern, und sobald er gesichert ist, plane ich, ihn zum Scannen meiner Festplatte zu verwenden, um sicherzugehen.

Die Datei scheint ein NSIS-Installationsprogramm zu sein. Nach dem Extrahieren enthielt es nur 2 .dll-Dateien, ExecPri.dll und inetc.dll. Keine dieser Dateien scheint nach VirusTotal und avast! Infiziert zu sein. Die Datei intec.dll scheint Standard von NSIS zu sein, aber ich konnte keine Informationen zu ExecPri.dll finden.

Nach der Analyse der Installationsdatei sind nur verdächtige Zeichenfolgen mit RichEdit verknüpft, das scheinbar ein JavaScript-Editor ist, den ich nicht verwende. Der Rest scheint eine Standard-NSIS-Heizplatte zu sein.

Ich verwende OpenDNS und meldet keine verdächtigen DNS-Auflösungen.

Auf der anderen Seite:

Die Datei wurde mehrmals in meinem Verzeichnis \ windows angezeigt, auch nachdem sie gelöscht wurde. Ich habe keine Ahnung, was sie erstellt. (Irgendwelche Tools, die bestimmen können, welche Datei durch welchen Prozess erstellt wird?)

Die einzige Information, die ich darüber finden konnte, befand sich im Google-Cache eines Forums, das sich mit Malware-Infektionen befasst, und war als Virenagent gekennzeichnet.

Meine Frage ist, wie überprüfe ich, ob diese Datei zu einem Virus gehört oder nicht?

2

4 Antworten auf die Frage

4
David Remy

Da es sich um ein Exe handelt, können Sie es in Anubis hochladen und sehen, was es alles zu versuchen versucht. Ich weiß, dass Sie die beiden DLLs gefunden haben, aber dies könnte dabei helfen, alle anderen Dinge aufzuspüren, die es möglicherweise tut. Wenn Sie nichts Fischiges von Anubis sehen und mit all den anderen Dingen, die Sie getan haben, ist dies wahrscheinlich träge und Sie können es löschen und ignorieren.

Mir gefällt der Link. digitxp vor 14 Jahren 0
Interessanter Link! Schade, dass sie überladen wirken. Nun, ich werde wissen, was es in 42 Tagen macht. AndrejaKo vor 14 Jahren 0
Ich habe dieses ausgewählt, weil Anubis großartig erscheint! Ich habe ihren Bericht erhalten und er ist hier: http://anubis.iseclab.org/?action=result&task_id=18a2223e8e31d722461abe7a9733e7f1e Es scheint, dass mein Freund, dessen Computer ich reparierte, mit genau demselben Virus infiziert wurde. Anubis bestätigte Informationen, die ich von seinem Computer erhalten hatte. DpiSca.exe ist in der Tat ein Downloader für einen Virus. Im Bericht unterscheidet sich der Dateiname, da ich die Datei direkt aus dem Papierkorb gesendet habe. Das Virus, das heruntergeladen wird, scheint Trojan-Spy.Win32.Zbot zu sein AndrejaKo vor 14 Jahren 0
1
digitxp

Wenn es sich um einen Virus handelt, ist es ziemlich saftig.

Ich vermute, es ist entweder ein schlecht geschriebenes oder ein altes Programm.

Sie haben nicht erwähnt, wo Sie die Datei gefunden haben oder wo Sie sie heruntergeladen haben. Wo hast du es her?

Ich habe keine Ahnung, woher die Datei stammt, wie ich in meiner Frage gesagt habe. Es erscheint nur alle paar Tage in C: \ windows \ directrory. Für mich sieht es so aus, als wäre es Teil der Auto-Update-Funktion eines Programms, auf der anderen Seite könnte es sich jedoch um einen Virus handeln. Ich bin nicht mutig genug, um es tatsächlich laufen zu lassen. Wenn ich einmal eine virtuelle Maschine zum Laufen gebracht habe, versuche ich es vielleicht. Und seine Inaktivität betrifft mich. Am Tag gab es Berichte über Viren, die ihre Arbeit nur an einem bestimmten Tag erledigen oder erst, wenn sie Kontakt mit dem restlichen Botnetz aufnehmen. Ich habe eine Art Bombengefühl. AndrejaKo vor 14 Jahren 0
Vielleicht können Sie es erneut installieren, wenn Sie Zeit haben, oder Sie können Avast mit einem Verhaltens-AV wie [ThreatFire] (http://www.threatfire.com/) ergänzen. digitxp vor 14 Jahren 0
1
comet.vermont

Ich hatte den gleichen Virus und säubere meinen Computer immer noch. Ich habe nur zwei Verweise darauf gefunden und beide waren auf WhatsRunning.com.

Ich dachte, ich hätte das Programm mit Antivirus entfernt, aber heute morgen habe ich ein paar Sachen gefunden, die Sie interessieren könnten.

Ich war gerade bei How-To-Geek dabei, zu untersuchen, wie man einige Programme durch Umgehen des UAC-Steuerelements in Windows 7 öffnet.

Nun, würden Sie nicht wissen, dass At1, At2, At3, At4, At5, At6, At7 und At8 (wenn Sie unter "Eigenschaften" nachsehen, sie alle DpiSca.exe sind) alle sieben Tage mit den höchsten Privilegien ausgeführt wurden eine Woche um 22:00 Uhr mit dem SYSTEM.

Ich musste jeden auf Vista-Konfiguration umstellen, um stoppen und löschen zu können, aber es hat funktioniert. Hoffnungsvoll.

0
TuxRug

Die einfachste Möglichkeit, dies zu überprüfen, besteht darin, die Datei hochzuladen, die avast zu VirusTotal markiert . Es wird über 40 verschiedene Antivirus-Programme laufen lassen. Wenn nur einige wenige angezeigt werden, handelt es sich wahrscheinlich um einen Fehlalarm. Avast hat etwas häufiger falsche Alarme als andere.

-1 Er hat bereits erwähnt, dass er das getan hat. digitxp vor 14 Jahren 0