Aiuto, il mio PC è infetto Rogue.Installer trovato da Malawarebytes. (1 Viewer)

[bimatch]

Ho appena terminato la scansione con Malawarebyes, il quale mi avrebbe individuato un "Rogue.installer" sul pc: il percorso segnalato è C\Program files\setup.exe.........a me sembra un falso positivo (cosa mai accaduta finora con Malawarebytes).....ho ragione oppure lo devo far rimuovere ?

 

[Goofy]

mandalo a virustotal e fai una scansione con hitman

 

[bimatch]

Questa è la scansione fatta con Virustotal:




File 41A584B7A05BAC93E9F906090A4D66001F1FB9A6.exe ricevuto il 2010.02.12 19:23:27 (UTC)
Stato corrente: finito
Risultato: 0/41 (0.00%)

Formattato
Stampa risultati

​

Antivirus Versione Ultimo aggiornamento Risultato a-squared 4.5.0.50 2010.02.12 - AhnLab-V3 5.0.0.2 2010.02.12 - AntiVir 7.9.1.160 2010.02.12 - Antiy-AVL 2.0.3.7 2010.02.11 - Authentium 5.2.0.5 2010.02.12 - Avast 4.8.1351.0 2010.02.12 - AVG 9.0.0.730 2010.02.12 - BitDefender 7.2 2010.02.12 - CAT-QuickHeal 10.00 2010.02.12 - ClamAV 0.96.0.0-git 2010.02.12 - Comodo 3912 2010.02.12 - DrWeb 5.0.1.12222 2010.02.12 - eSafe 7.0.17.0 2010.02.11 - eTrust-Vet 35.2.7299 2010.02.12 - F-Prot 4.5.1.85 2010.02.12 - F-Secure 9.0.15370.0 2010.02.12 - Fortinet 4.0.14.0 2010.02.12 - GData 19 2010.02.12 - Ikarus T3.1.1.80.0 2010.02.12 - Jiangmin 13.0.900 2010.02.08 - K7AntiVirus 7.10.972 2010.02.12 - Kaspersky 7.0.0.125 2010.02.12 - McAfee 5890 2010.02.12 - McAfee+Artemis 5890 2010.02.12 - McAfee-GW-Edition 6.8.5 2010.02.12 - Microsoft 1.5406 2010.02.12 - NOD32 4861 2010.02.12 - Norman 6.04.08 2010.02.12 - nProtect 2009.1.8.0 2010.02.12 - Panda 10.0.2.2 2010.02.12 - PCTools 7.0.3.5 2010.02.12 - Prevx 3.0 2010.02.12 - Rising 22.34.01.03 2010.02.11 - Sophos 4.50.0 2010.02.12 - Sunbelt 5671 2010.02.11 - Symantec 20091.2.0.41 2010.02.12 - TheHacker 6.5.1.3.190 2010.02.12 - TrendMicro 9.120.0.1004 2010.02.12 - VBA32 3.12.12.2 2010.02.12 - ViRobot 2010.2.12.2184 2010.02.12 - VirusBuster 5.0.21.0 2010.02.12 - Informazioni addizionali File size: 453024 bytes MD5 : 2331d7f55e9b16a20a68c96e65b83c86 SHA1 : bc57a7e0f0abcb2801e46076c6916e1d0df762d8 SHA256: 5c1e7488d60ece8ea39b5dee9fb15f5b5abcdb0f9d00f5ea6b6545458491752d PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xBA60
timedatestamp.....: 0x4B4783E6 (Fri Jan 8 20:13:42 2010)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2CE2A 0x2D000 6.59 31e03cdb150839f2b9b31ee53d200c08
.rdata 0x2E000 0x73F2 0x7400 5.07 69fe71ac347b25f18b88a6699141000f
.data 0x36000 0x2E14 0x1200 2.44 ac76d0443375d09dbee4acff26f55523
.rsrc 0x39000 0x37958 0x37A00 5.04 494399bbfcbd749e3ca5e1dbf557e05d

( 4 imports )

> advapi32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyExA, FreeSid, EqualSid, GetTokenInformation, OpenProcessToken, AllocateAndInitializeSid, RegQueryValueExW, RegOpenKeyExW
> kernel32.dll: SetEnvironmentVariableW, SetEnvironmentVariableA, CompareStringW, CompareStringA, GetProcessHeap, SetEndOfFile, CreateFileW, GetVersionExA, lstrcmpA, lstrlenA, GetLastError, CloseHandle, GetCurrentProcess, FreeLibrary, GetProcAddress, LoadLibraryA, GetPrivateProfileSectionA, GetFileAttributesA, GetFullPathNameA, GetSystemDirectoryA, GetExitCodeProcess, CreateProcessA, lstrcmpiA, CreateMutexA, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, GetModuleFileNameA, GetCommandLineA, FindClose, FindNextFileA, FindFirstFileA, GetSystemDefaultLangID, GetUserDefaultLangID, lstrcmpW, lstrlenW, LoadLibraryW, GetPrivateProfileSectionW, GetFileAttributesW, GetFullPathNameW, GetSystemDirectoryW, CreateProcessW, lstrcmpiW, CreateMutexW, CreateFileMappingW, GetModuleFileNameW, GetCommandLineW, FindNextFileW, FindFirstFileW, RtlUnwind, RaiseException, GetSystemTimeAsFileTime, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, HeapFree, DeleteFileA, DeleteFileW, GetStartupInfoA, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, GetCurrentThread, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, WriteFile, GetStdHandle, WideCharToMultiByte, GetTimeZoneInformation, GetConsoleCP, GetConsoleMode, FlushFileBuffers, DeleteCriticalSection, LeaveCriticalSection, FatalAppExitA, EnterCriticalSection, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, Sleep, ExitProcess, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, SetHandleCount, GetFileType, ReadFile, HeapCreate, HeapDestroy, VirtualFree, VirtualAlloc, HeapReAlloc, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, SetConsoleCtrlHandler, GetLocaleInfoW, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetStdHandle, InitializeCriticalSectionAndSpinCount, InterlockedExchange, CreateFileA, HeapSize
> msi.dll: -, -, -, -, -, -, -
> user32.dll: PeekMessageA, LoadStringW, MessageBoxW, CharNextW, PeekMessageW, DispatchMessageW, LoadStringA, MessageBoxA, DispatchMessageA, TranslateMessage, MsgWaitForMultipleObjects, CharNextA

( 0 exports )
TrID : File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) ssdeep: 6144MWln2EhvTr5CFcLmA2Uvzg5zxyqj+mWIedHU9qrCFMWlnBhXMFcLjNL8yfmWbMF sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: Sun Microsystems GmbH
VeriSign Class 3 Code Signing 2009-2 CA
Class 3 Public Primary Certification Authority
signing date.: 4:48 PM 2/2/2010
verified.....: -
PEiD : - RDS : NSRL Reference Data Set
-


A me pare tutto OK.
Mi spieghi perchè al posto del nome del file scansionato c'è una serie di numeri ?
E Hitman (che non conosco) da dove lo posso scaricare?

 

[Goofy]

Hitman Pro 3 - SurfRight

 

[bimatch]

mandalo a virustotal e fai una scansione con hitman

OK.
Però nel frattempo cosa devo fare ?
Perchè le opzioni di Malawarebytes sono "Rimuovi gli elementi selezionati - Ignora - Salva file di log - "....non trovo metti in quarantena, casomai, come spero, dovesse essere un falso positivo.

 

[bimatch]

OK.
L'ho scaricato e gli ho fatto fare la scansione, per la verità velocissima (pochi secondi): su 325 file scansionati il risultato è stato nessun elemento trovato.
Quindi adesso che faccio ?
Considero il risultato di Malawarebytes un falso positivo e lo ignoro ?
Come te lo spieghi ?
Secondo te setup.exe in program files cosa ci sta a fare ?

 

[Goofy]

è un falso positivo

se non sai che farne di quel file ...eliminalo....

 

[bimatch]

Gli ho dato " ignora".

 

[bimatch]

Ma con quel nome non potrebbe essere un file di sistema ?

 

[Goofy]

setup.exe è un claSSICO NOME DI UN FILE PER INSTALLARE QUALCOSA...


i file di sistema non stanno sotto programmi

nel dubbio lascialo dove sta...non fa danni