Falso-Positivo con A-Squared Free ?
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 20/Maggio/2024 alle 00:58
Topic: Falso-Positivo con A-Squared Free ? Postato da: Spfx
Soggetto: Falso-Positivo con A-Squared Free ?
Postato in data: 01/Dicembre/2007 alle 17:13
Ciao a tutti. 
Volevo segnalare un probabile Falso-Positivo ... almeno credo!
Oggi, dopo aver aggiornato "A-Squared Free", ho lanciato una scansione completa.
Risultato (...riporto solo una parte del file LOG):
a-squared Free - Version 3.0
Last update: 01/12/2007 10.38.29
...
Scansione avviata: 01/12/2007 10.39.00
C:\Documents and Settings\Fabio\Dati applicazioni\Mozilla\Firefox\Profiles\q62bap8v.default\cookies.txt:9 rilevati: Trace.TrackingCookie
C:\WINDOWS\ServicePackFiles\i386\csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\csrss.exe rilevati: Backdoor.Win32.Bifrose.em
Scansionati
Files: 33993
Tracce: 343027
Cookies: 47
Processi: 35
Rilevato
Files: 2
Tracce: 0
Cookies: 1
Processi: 0
Chiavi registro: 0
Fine scansione: 01/12/2007 13.12.38
Tempo scansione: 2.33.38
Il processo "csrss.exe" risulta essere infetto da un Backdoor (... sia nella cartella system32\ che, stranamente, ServicePackFiles\i386\ )
Ho verificato con:
- Spyware Terminator + Clam AntiVirus: Esito negativo
- AntiVir : Esito negativo
- VirusTOTAL : Esito negativo [0/32 (0%)]
Cosa ne pensate? Si tratta effettivamente di un Falso-Positivo?
Qualcuno che usa A-Squared ha avuto problemi simili?
Ciao.
PS
Csrss.exe (client/server run-time subsystem) è un sottosistema essenziale di Win32 che deve essere sempre in esecuzione.
Cosa fa: controllo delle finestre di console, la creazione e/o l'eliminazione dei thread e per la gestione di alcune parti dell'ambiente MS-DOS virtuale a 16 bit.
Volevo segnalare un probabile Falso-Positivo ... almeno credo!
Oggi, dopo aver aggiornato "A-Squared Free", ho lanciato una scansione completa.
Risultato (...riporto solo una parte del file LOG):
a-squared Free - Version 3.0
Last update: 01/12/2007 10.38.29
...
Scansione avviata: 01/12/2007 10.39.00
C:\Documents and Settings\Fabio\Dati applicazioni\Mozilla\Firefox\Profiles\q62bap8v.default\cookies.txt:9 rilevati: Trace.TrackingCookie
C:\WINDOWS\ServicePackFiles\i386\csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\csrss.exe rilevati: Backdoor.Win32.Bifrose.em
Scansionati
Files: 33993
Tracce: 343027
Cookies: 47
Processi: 35
Rilevato
Files: 2
Tracce: 0
Cookies: 1
Processi: 0
Chiavi registro: 0
Fine scansione: 01/12/2007 13.12.38
Tempo scansione: 2.33.38
Il processo "csrss.exe" risulta essere infetto da un Backdoor (... sia nella cartella system32\ che, stranamente, ServicePackFiles\i386\ )
Ho verificato con:
- Spyware Terminator + Clam AntiVirus: Esito negativo
- AntiVir : Esito negativo
- VirusTOTAL : Esito negativo [0/32 (0%)]
Cosa ne pensate? Si tratta effettivamente di un Falso-Positivo?
Qualcuno che usa A-Squared ha avuto problemi simili?
Ciao.
PS
Csrss.exe (client/server run-time subsystem) è un sottosistema essenziale di Win32 che deve essere sempre in esecuzione.
Cosa fa: controllo delle finestre di console, la creazione e/o l'eliminazione dei thread e per la gestione di alcune parti dell'ambiente MS-DOS virtuale a 16 bit.
Risposte:
Postato da: notwen
Postato in data: 01/Dicembre/2007 alle 17:25
prova con qualche antivirus a fare una scansione sul solo file Csrss.exe. vedi cosa ti dice. Comunque i falsi positivi esistono, mi è capitato anche a me e Prgn una settimana fa con AntiVir..
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: Spfx
Postato in data: 01/Dicembre/2007 alle 17:28
Grazie! 
Ho provato già con VirusTOTAL...
Per sicurezza, proverò con qualche altro antivirus come dici.
Ho provato già con VirusTOTAL...
Per sicurezza, proverò con qualche altro antivirus come dici.
Postato da: Spfx
Postato in data: 01/Dicembre/2007 alle 18:48
Ho scaricato "Security Task Manager" (Trial Version 30 gg)
Non lo segna come file pericoloso (Risultato=inoffensivo), dice inoltre che contiene la "firma Microsoft".
Ho eseguito un'ulteriore scansione OnLine direttamente sul sito di Kaspersky Lab ... è possible eseguire la scansione completa del PC o del singolo file.
Risultato: Negativo
Penso, a questo punto, che sia effettivamente un Falso-Positivo.
Postato da: notwen
Postato in data: 01/Dicembre/2007 alle 18:53
lo penso anche io!!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: Spfx
Postato in data: 01/Dicembre/2007 alle 19:02
Provo a spedire il file al EMSI Software per fargli correggere l'errore...
(... così lo controllano anche loro.
)
(... così lo controllano anche loro.
)Postato da: notwen
Postato in data: 01/Dicembre/2007 alle 19:04
puoi anche mandarlo a Suspect File, cerca l'utente Lucas, il link ce l'ha come firma!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: Spfx
Postato in data: 01/Dicembre/2007 alle 19:06
Ok, grazie. 
Postato da: prgn
Postato in data: 02/Dicembre/2007 alle 21:48
Postato originariamente da Spfx
Provo a spedire il file al EMSI Software per fargli correggere l'errore...
Provo a spedire il file al EMSI Software per fargli correggere l'errore...
Penso che sia procedura più conveniente...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Spfx
Postato in data: 03/Dicembre/2007 alle 23:05
Aggiornamento:
Oggi in data 3/12/2007, dopo aver aggiornato il database di A-Squared, "l' infezione" è sparita!
Alla EMSI Software si sono accorti dell' errore e hanno corretto il database.
Dunque si trattava di un Falso-Positivo.
Spero che nessuno abbia cancellato il file incriminato ...
Ciao.
PS ... Stò ancora aspettando la risposta da Suspectfile
Oggi in data 3/12/2007, dopo aver aggiornato il database di A-Squared, "l' infezione" è sparita!
Alla EMSI Software si sono accorti dell' errore e hanno corretto il database.
Dunque si trattava di un Falso-Positivo.
Spero che nessuno abbia cancellato il file incriminato ...
Ciao.
PS ... Stò ancora aspettando la risposta da Suspectfile
Postato da: notwen
Postato in data: 04/Dicembre/2007 alle 12:27
Buono a sapersi!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />