Pertanyaan Bagaimana cara memeriksa false positive?


Sepertinya saya telah terinfeksi oleh virus, yaitu NSIS: Downloader-BX [Drp] dalam file bernama DpiSca.exe tetapi ...

Saya tidak mengunjungi situs tersangka yang biasa (warez, pr0n dll) dan tidak ada orang lain yang menggunakan komputer saya.

Saya tidak mendapatkan apapun gejala biasa.

Sudah lebih dari 5 tahun sejak saya terinfeksi terakhir kali, jadi saya cukup yakin bahwa saya tahu cara merawat diri sendiri.

Saya tidak dapat menemukan informasi apa pun di Internet tentang virus yang saya infeksi.

Menurut VirusTotal, hanya avast! menganggapnya sebagai virus.

Sysinternals Process Explorer, yang tampaknya program yang sangat dihormati, tidak menunjukkan proses yang mencurigakan.

Setelah menjalankan scan paling menyeluruh tersedia di avast gratis! beberapa kali, tidak ditemukan infeksi. Saya akan membersihkan komputer teman besok dan setelah aman, saya berencana menggunakannya untuk memindai hard drive saya hanya agar aman.

File ini sepertinya penginstal NSIS. Setelah diekstraksi, hanya berisi 2 file .dll, ExecPri.dll dan inetc.dll dan tak satu pun dari mereka tampaknya terinfeksi sesuai dengan VirusTotal dan avast !. File intec.dll tampaknya merupakan bagian standar dari NSIS, tetapi saya tidak dapat menemukan informasi tentang ExecPri.dll.

Setelah menganalisis file penginstal, hanya string yang mencurigakan yang terkait dengan RichEdit, yang tampaknya editor JavaScript yang tidak saya gunakan. Sisanya tampaknya standar NSIS boilerplate.

Saya menggunakan OpenDNS dan tidak melaporkan koneksi koneksi DNS yang mencurigakan.

Di samping itu:

File ini muncul beberapa kali di direktori \ windows saya bahkan setelah dihapus dan saya tidak tahu apa yang membuatnya. (Setiap alat yang dapat menentukan file apa yang dibuat oleh proses apa?)

Hanya referensi Saya bisa menemukan tentang itu di Google cache dari sebuah forum yang berurusan dengan infeksi malware, dan ditandai sebagai agen virus.

Pertanyaan saya adalah bagaimana saya memeriksa apakah file ini atau bukan bagian dari virus?


2
2017-08-31 21:43


asal




Jawaban:


Karena ini adalah exe, Anda dapat mengunggahnya ke Anubis dan lihat apa yang mungkin coba dilakukan. Saya tahu Anda menemukan dua dll, tetapi ini mungkin membantu melacak hal-hal lain yang mungkin dilakukan. Jika Anda tidak melihat sesuatu yang mencurigakan dari Anubis dan dengan semua hal lain yang Anda lakukan, itu mungkin tidak aktif dan Anda dapat menghapusnya dan mengabaikannya.


4
2017-09-01 03:43



Saya suka tautannya. - digitxp
Tautan yang menarik! Sayang sekali mereka tampak kelebihan beban. Yah, aku akan tahu apa yang dilakukannya dalam 42 hari. - AndrejaKo
Saya telah memilih yang ini karena Anubis tampak hebat! Saya telah menerima laporan mereka dan itu ada di sini: anubis.iseclab.org/ ... Sepertinya teman saya yang komputernya saya perbaiki terinfeksi virus yang sama persis. Anubis mengkonfirmasi informasi yang saya peroleh dari komputernya. DpiSca.exe memang pengunduh untuk virus. Dalam laporannya, nama file berbeda karena saya mengajukan file langsung dari recycle bin. Virus yang diunduh tampaknya adalah Trojan-Spy.Win32.Zbot - AndrejaKo


Jika itu adalah virus, itu melakukan pekerjaan yang cukup ceria.

Saya menduga itu adalah program yang ditulis dengan buruk atau yang lama.

Satu hal yang tidak Anda sebutkan adalah di mana Anda menemukan file atau dari mana Anda mengunduhnya. Darimana kamu mendapatkannya?


1
2017-08-31 22:51



Saya tidak tahu dari mana file itu berasal, seperti yang saya katakan dalam pertanyaan saya. Itu hanya muncul di C: \ windows \ directrory setiap beberapa hari. Bagi saya sepertinya itu adalah bagian dari beberapa fitur pembaruan otomatis program tetapi di sisi lain itu bisa menjadi virus. Saya tidak cukup berani untuk benar-benar menjalankannya. Mungkin setelah saya menjalankan mesin virtual, saya akan mencobanya. Dan ketidakaktifannya adalah apa yang memprihatinkan saya. Ada laporan kembali pada hari virus yang melakukan pekerjaan mereka hanya pada hari tertentu atau hanya setelah mereka mengadakan kontak dengan sisa botnet mereka. Saya mengalami bom semacam perasaan tentang hal itu. - AndrejaKo
Mungkin Anda dapat menginstalnya kembali jika Anda punya waktu, atau mungkin Anda bisa memuji Avast dengan AV perilaku ThreatFire. - digitxp


Saya memiliki virus yang sama dan saya masih membersihkan komputer saya. Saya hanya menemukan dua referensi untuk itu dan mereka berdua di WhatsRunning.com.

Saya berpikir bahwa saya telah menghapus program dengan anti-virus tetapi pagi ini saya menemukan beberapa barang sisa yang mungkin Anda minati.

Saya kebetulan berada di How-To Geek meneliti cara membuka beberapa program dengan melewati kontrol UAC di Windows 7. Saya diarahkan ke Tugas Terjadwal saya.

Nah, apakah Anda tidak tahu itu, At1, At2, At3, At4, At5, At6, At7 dan At8 (jika Anda melihat di bawah "properti" mereka semua DpiSca.exe) semua dijadwalkan untuk berjalan dengan hak istimewa tertinggi tujuh hari satu minggu pada pukul 10:00 menggunakan SISTEM.

Saya harus mengubah masing-masing ke Konfigurasi Vista untuk dapat berhenti dan kemudian menghapus masing-masing, tetapi itu berhasil. Semoga.


1
2017-09-03 12:58





Cara termudah untuk memeriksanya adalah dengan mengunggah file yang ditandai oleh avast VirusTotal. Ini akan menjalankannya melalui lebih dari 40 program antivirus yang berbeda. Jika Anda hanya memiliki sedikit kemunculan, mungkin itu adalah alarm palsu. Avast memiliki kebiasaan alarm palsu sedikit lebih sering daripada yang lain.


0
2017-08-31 22:48



-1 Dia sudah menyebutkan bahwa dia melakukan itu. - digitxp