|
proxygenerator
| Inviato il: 26/10/2012,16:11
|
capitano o mio capitano:OPERATIVO!
fatta scansione con avira: nessun rilevamento.
allego scansione informazioni motore:
chiedo all'utente Roby69 link del download da dove ha estratto il compilatore
grazie
|
| | |
Roby_69
Watt 
Gruppo:Utente
Messaggi:81
Stato:
| Inviato il: 26/10/2012,16:30
|
CITAZIONE (MarKoZaKKa @ 26/10/2012, 17:02) Se il Roby_69 non è quello che conosco io, confermo che è accaduto anche a me, ma solo con avira, in almeno due casi.
Se non lo fossi... e se lo sono????!!!!  Il tuo invece non riesco in questo momento ad associarlo altrove.... 
Il nik di solito è sempre quello... qualche volta senza _69....
Ho provato a ridurre le dimensioni dell'immagine ma poi non si leggeva nulla...
Il pacchetto l'ho scaricato da qui, e per prova l'ho scaricato anche da qui: .Immagine Allegata: Avira
|
| | |
Roby_69
Watt
Gruppo:Utente
Messaggi:81
Stato:
| Inviato il: 26/10/2012,20:53
|
Dunque, ho fatto una ricerca a ritroso tra i post di questo thread fino ad arrivare alla prima versione del compilatore dove avira rileva il troian, che è la 2.6 . Nella precedente (ho trovato solo la 2.1_A) avira non rileva nulla.
Spero possa essere utile per comprendere se sia un falso allarme o una reale minaccia.
|
| | |
NonSoloBolleDiAcqua
| Inviato il: 26/10/2012,23:33
|
La situazione è questa, uso il compilatore della microsoft e proxy, che è molto affidabile, mi dice che avira da lui installato non rileva nulla. Vedo che la sua versione è antecedente alla tua...quindi potrebbe essere un qualcosa che viene rilevato da qualche aggiornamento successivo alla sua versione. Questo lo si verificherà con certezza lunedì e capire cosa sia questo troian...purtroppo prima io non posso.
Però possiamo dire con certezza che visto che genero le versioni personalmente è praticamente impossibile che all'interno ci siano virus.Però alla luce di quanto dici le possibilità sono 3:
1. E' un troian che microsoft mette negli eseguibili (di una gravità senza precedenti).
2. Il virus te lo sei preso tu mentre lo copiavi/decomprimevi
3. Il virus lo inserito io mentre lo copiavo (quasi da escludere per molti motivi ma nel campo delle possibilità).
Ciao
Bolle
---------------
Chi sa raccontare bene le bugie ha la verità in pugno (by PinoTux).
Un risultato se non è ripetibile non esiste (by qqcreafis).
|
| | |
Roby_69
Watt
Gruppo:Utente
Messaggi:81
Stato:
| Inviato il: 27/10/2012,09:55
|
CITAZIONE (NonSoloBolleDiAcqua @ 27/10/2012, 00:33) La situazione è questa, uso il compilatore della microsoft e proxy, che è molto affidabile, mi dice che avira da lui installato non rileva nulla. Vedo che la sua versione è antecedente alla tua...quindi potrebbe essere un qualcosa che viene rilevato da qualche aggiornamento successivo alla sua versione. Questo lo si verificherà con certezza lunedì e capire cosa sia questo troian...purtroppo prima io non posso.
Però possiamo dire con certezza che visto che genero le versioni personalmente è praticamente impossibile che all'interno ci siano virus.Però alla luce di quanto dici le possibilità sono 3:
1. E' un troian che microsoft mette negli eseguibili (di una gravità senza precedenti).
2. Il virus te lo sei preso tu mentre lo copiavi/decomprimevi
3. Il virus lo inserito io mentre lo copiavo (quasi da escludere per molti motivi ma nel campo delle possibilità).
Ciao
Bolle
Ciao Bolle, la mia segnalazione è solo per fare chiarezza su una cosa che reputo importante, e senza voler sottolineare o alzare il dito contro alcuno.  Spero che questo sia chiaro, quindi senza pretese e senza voler cercare qualcosa dove non c'è...
La 1) non la escluderei. non è la prima volta che capita, anzi... In più occorrerebbe vedere la fonte del SW che hai usato (non voglio parlare criptico, ma spero tu mi abbia compreso cosa volessi dire).
La 2) non la escludo nemmeno io... Solo che il S.O. è fresco fresco (le date dei componenti di avira testimoniano la recente istallazione di tutto, avira è stato istallato subito dopo i driver di sistema), il SW tutto aggiornato (è fresco il sistema...), tra l'altro hai notato tu che l'antivirus è aggiornato. Il sistema è controllatissimo (ci metto le mani solo io, non esistono altri accessi, quindi o faccio cappellate io o nessuno) e con accessi amministrativi inattesi disabilitati anche sul mio account, e non parlo solo dell'UAC. Altre ragioni ...
Poi ci sono una serie di cose ... strane... Perchè il trojan viene rilevato solo sul SW del compilatore del pacchetto dalle versioni 2.6 in poi fino a quella attuale... e la versione precedente la 2.1_A no? Più in generale perché solo su questi eseguibili e non su altri... o s'è rinco....nito l'antivirus (cosa che può essere... ma ripeto... è fresco fresco...) oppure ho qualche difficoltà a trovare la ragione di un problema sul mio sistema, ma come possibilità non la escludo...
Ancora, anche "proxygenerator" usa avira, ma ha una versione antecedente, anche il motore di ricerca di avirà è antecedente. Ora o è l'antivirus mio ... oppure no... ma può essere?
Facciamo così. I pacchetti compressi usano firme CRC "Simple File Verification" per verificare l'integrità dei dati. Quindi già ad "occhio" si può controllare immediatamente se ci sono state modifiche sul file. Il pacchetto riporta un CRC (sarebbero i .sfv) che è 13C14F00 che è rimasto inalterato anche dopo il deflate. Quindi sul mio sistema il file non sembrerebbe aver subito modifiche in fase di estrazione.
E' stato modificato solo lui (PPTEACompiler.exe) in fase di download?
Ecco il CRC e le dimensioni del file del pacchetto.
CODICE 4100755 ott 26 2012 17.26.24 PPTEA_2_16v.zip BD481405
L'integrità del CRC è verificabile con qualsiasi SW per il calcolo del CRC, basta selezionare il metodo giusto.
La 3)... Anch'io tendo ad escludere per una serie di motivi che possa essere il mio sistema ad aver introdotto qualcosa di non desiderato... Vedi un po' tu...
Lunedì controllerò in ufficio, li ho McAfee... anche li i controlli sulla sicurezza sono molto stretti. Vediamo cosa accade anche li.
|
| | |
titone78
| Inviato il: 27/10/2012,10:50
|
salve,io come antivirus uso avast gia da diversi anni,e non mi ha trovato nessuna minaccia.
|
| | |
Roby_69
Watt
Gruppo:Utente
Messaggi:81
Stato:
| Inviato il: 27/10/2012,11:12
|
Ciao titone78.
Potresti verificare la coerenza dei CRC sui file in questione? Almeno in questo modo vediamo di capire se stiamo considerando gli stessi file (se cioè c'è stata una modifica sulla mia macchina).
Potresti anche, cortesemente, controllare l'aggiornamento del motore e del SW di Avast? D'altronde secondo il rapporto di Avira si tratta di un troian scoperto di recente (maggio 2012), con DB più datati potrebbe darsi che la firma del trojan non viene considerata perchè assente nel DB, appunto.
|
| | |
titone78
| Inviato il: 27/10/2012,14:01
|
ciao roby,per quanto riguarda l'aggiornamento l'ultimo che ha fatto,sia per quanto riguarda software e definizione virus e stato stamani e ho fatto un controllo virus subito dopo.....per la coerenza crc...non saprei come fare.....
|
| | |
Roby_69
Watt
Gruppo:Utente
Messaggi:81
Stato:
| Inviato il: 27/10/2012,14:15
|
CITAZIONE (titone78 @ 27/10/2012, 15:01) ciao roby,per quanto riguarda l'aggiornamento l'ultimo che ha fatto,sia per quanto riguarda software e definizione virus e stato stamani e ho fatto un controllo virus subito dopo.....per la coerenza crc...non saprei come fare.....
Se apri il file .zip del pacchetto 2.16 tra le proprietà dei file c'è una "colonna" con nome "CRC". Arriva fino al file "PPTEACompiler.exe" e vedi se il CRC del file è "13C14F00".
Ci sono una miriade di programmi che fanno il check dei CRC... Il primo che mi viene in mente è FlashSfv.
In una cartella copia il file PPTEA_2_16v.zip. In quella cartella crea un file di testo e copiaci dentro questo.
CODICE PPTEA_2_16v.zip BD481405
Poi rinominalo "PTTEA.sfv", la cosa importante è l'estensione ".sfv" il nome puoi metterci quello che vuoi.
Con il programma per il check fai verifica.
|
| | |
titone78
| Inviato il: 27/10/2012,14:48
|
ciao,io sul file zip ho cliccato destro e poi proprieta,ma non ho trovato la colonna con nome crc.....come software per decomprimere i file uso 7-zip......ho scaricato il programma che hai detto e fatto una cartella con il file zip ed il file di testo che mi hai detto,logicamente lo rinominato con estensione .sfv, a quel punto ho aperto flashsfv,ho aperto il file sfv dalla cartella e ho cliccato sul pulsante check,a quel punto di fianco al nome e venuto un segno di spunta verde....tutto bene?
sono riuscito a vedere ilcodice crc,ed e quello da te scritto
|
| | |
Roby_69
Watt
Gruppo:Utente
Messaggi:81
Stato:
| Inviato il: 27/10/2012,15:08
|
CITAZIONE (titone78 @ 27/10/2012, 15:48) ciao,io sul file zip ho cliccato destro e poi proprieta,ma non ho trovato la colonna con nome crc.....come software per decomprimere i file uso 7-zip......ho scaricato il programma che hai detto e fatto una cartella con il file zip ed il file di testo che mi hai detto,logicamente lo rinominato con estensione .sfv, a quel punto ho aperto flashsfv,ho aperto il file sfv dalla cartella e ho cliccato sul pulsante check,a quel punto di fianco al nome e venuto un segno di spunta verde....tutto bene?
sono riuscito a vedere ilcodice crc,ed e quello da te scritto
Evidentemente mi sono spiegato male.. 
Aprendo il file zip con un programma per la gestione dei file compressi, tipo 7zip, tra le tante colonne delle proprietà dei file c'è CRC...
In ogni caso almeno sappiamo che il file zip è quello e non è diverso (quindi non con qualcosa in più, in meno o diverso dentro).
Apri il file zip e vedi il CRC del Compilatore del PPTEA. Manca solo quello.
|
| | |
titone78
| Inviato il: 27/10/2012,15:15
|
si,roby,prima ho modificato il messaggio,sono riuscito a vedere la colonna crc e il codice e quello da te postato 13C14F00
|
| | |
Roby_69
Watt
Gruppo:Utente
Messaggi:81
Stato:
| Inviato il: 27/10/2012,15:33
|
CITAZIONE (titone78 @ 27/10/2012, 16:15) si,roby,prima ho modificato il messaggio,sono riuscito a vedere la colonna crc e il codice e quello da te postato 13C14F00
Chiedo scusa, non avevo inteso.
Questo significa che.
Il file zip in mio possesso è lo stesso che hai tu, non c'è stata manomissione. Quindi il mio download non ha introdotto nulla nel file zip. Questo con il controllo del CRC sul file zip.
Il programma del compilatore che ho estratto rispetta il CRC. Ho, infatti, estratto il file e controllato il CRC dello stesso file archiviato nel pacchetto con quello calcolato dal un programma per la verifica del CRC, che poi è ugale a quello che hai provato tu.
Anche il file "PPTEACompiler.exe" è lo stesso, quindi la decompressione non ha introdotto nulla o modificato il file in alcun modo.
Questo significa che il mio sistema non introduce o modifica i file in alcun modo, rispetto al tuo.
Conseguenza: Il mio sistema non è virato, oppure io e te abbiamo lo stesso virus, a te non lo rileva, a me si, però!!! 
Quale delle due?
A naso direi la prima... Anzi direi che avira ha inserito una firma per un trojan che magari nei DB di altri antivirus non c'è, o non c'è ancora.
Resta da verificare se "TR/Dropper.VB.Gen" è un troian a tutti gli effetti o uno di quei rootkit che spesso e volentieri case software inseriscono nei loro programmi....
|
| | |
NonSoloBolleDiAcqua
| Inviato il: 27/10/2012,16:18
|
CITAZIONE (Roby_69 @ 27/10/2012, 10:55) Ciao Bolle, la mia segnalazione è solo per fare chiarezza su una cosa che reputo importante, e senza voler sottolineare o alzare il dito contro alcuno. Spero che questo sia chiaro, quindi senza pretese e senza voler cercare qualcosa dove non c'è...
Ma scherzi, nessuno ha mai pensato una cosa del genere...anzi ti ringrazio per quello che stai facendo e forse ti chiederemo una mano per fare dei test...per la serie se è nel compilatore allora la cosa è seria.
Senti fai una cosa aiutaci subito, se ti va e se hai tempo, scaricati l'eseguibile del PPTEA SOLAR PLATFORM (lo trovi nella sezione del PPTEA ) verifica anche lui visto che sei riesci facilmente a farlo...il compilatore è lo stesso.
CITAZIONE (Roby_69 @ 27/10/2012, 10:55) ... il trojan viene rilevato solo sul SW del compilatore del pacchetto dalle versioni 2.6 in poi fino a quella attuale... e la versione precedente la 2.1_A no?
Lavoro su diverse piattaforme e con diversi compilatori della microsoft...quindi è tutto possibile....ma è questione di tempo.
CITAZIONE (Roby_69 @ 27/10/2012, 10:55) Più in generale perché solo su questi eseguibili e non su altri... o s'è rinco....nito l'antivirus (cosa che può essere... ma ripeto... è fresco fresco...) oppure ho qualche difficoltà a trovare la ragione di un problema sul mio sistema, ma come possibilità non la escludo...
Ancora, anche "proxygenerator" usa avira, ma ha una versione antecedente, anche il motore di ricerca di avirà è antecedente. Ora o è l'antivirus mio ... oppure no... ma può essere?
Potrebbe essere anche l'antivirus...ma ormai siamo in ballo e balliamo.
CITAZIONE (Roby_69 @ 27/10/2012, 10:55) Facciamo così. I pacchetti compressi usano firme CRC "Simple File Verification" .....
Questo punto lo avete risolto brillantemente...
CITAZIONE (Roby_69 @ 27/10/2012, 10:55) Lunedì controllerò in ufficio, li ho McAfee... anche li i controlli sulla sicurezza sono molto stretti. Vediamo cosa accade anche li.
Anche questa cosa è molto interessante.
Lunedì il troian se c'è sarà sotto un fuoco incrociato! 
Ciao e grazie
Bolle
---------------
Chi sa raccontare bene le bugie ha la verità in pugno (by PinoTux).
Un risultato se non è ripetibile non esiste (by qqcreafis).
|
| | |
Roby_69
Watt
Gruppo:Utente
Messaggi:81
Stato:
| Inviato il: 27/10/2012,16:54
|
CITAZIONE (NonSoloBolleDiAcqua @ 27/10/2012, 17:18) Ma scherzi, nessuno ha mai pensato una cosa del genere...anzi ti ringrazio per quello che stai facendo e forse ti chiederemo una mano per fare dei test...per la serie se è nel compilatore allora la cosa è seria.
Senti fai una cosa aiutaci subito, se ti va e se hai tempo, scaricati l'eseguibile del PPTEA SOLAR PLATFORM (lo trovi nella sezione del PPTEA ) verifica anche lui visto che sei riesci facilmente a farlo...il compilatore è lo stesso.
Felice di leggere l'esternazione.
Scusa il ritardo, nel rispondere.. facevo la spola sul banchetto a dissaldare componenti su schede andate. Speravo di trovare un condensatore da 470nF... finchè non ho rotto il saldatore con relativa fiammata, e salto del differenziale. Menomale che c'è!
Su PPTEA SOLAR PLATFORM 1.10 non viene rilevato nulla.
CITAZIONE (NonSoloBolleDiAcqua @ 27/10/2012, 17:18) Lavoro su diverse piattaforme e con diversi compilatori della microsoft...quindi è tutto possibile....ma è questione di tempo.
Potrebbe essere una possibile ragione.
CITAZIONE (NonSoloBolleDiAcqua @ 27/10/2012, 17:18) CITAZIONE (Roby_69 @ 27/10/2012, 10:55) Facciamo così. I pacchetti compressi usano firme CRC "Simple File Verification" ..... Questo punto lo avete risolto brillantemente...
Beh in qualche modo bisognava fare...
CITAZIONE (NonSoloBolleDiAcqua @ 27/10/2012, 17:18) CITAZIONE (Roby_69 @ 27/10/2012, 10:55) Lunedì controllerò in ufficio, li ho McAfee... anche li i controlli sulla sicurezza sono molto stretti. Vediamo cosa accade anche li. Anche questa cosa è molto interessante. Lunedì il troian se c'è sarà sotto un fuoco incrociato! Ciao e grazie Bolle
Mi sa che è l'ambiente per la compilazione de codice VB6.
Mi accadeva una cosa simile con un'altro ambiente, che amavo (ma continuo ancora a ricordare con un certo trasporto) in modo sviscerato... Delphi 7. Ma li mi venivano fuori solo falsi positivi.
|
|
| | |
|
Versione Mobile!
 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
