To trojan, czy pomyłka Nortona?

[andrzej2y]

Witam i proszę biegłych userów o zajęcie stanowiska w następującej sprawie:
Podczas skanowania systemu Norton Security Scan'em ten znalazł trojana w 3 plikach. Dziwi mnie to, bo wskazane pliki to pliki ComboFix'a, którym wcześniej skanowałem system.Skan został uznany jako czysty.
O ile wiem to ComboFix jest narzędziem do sprawdzania i usuwania ewentualnych infekcji systemu. Czy jest zatem możliwe aby tam znalazł się Trojan Horse, czy to tylko nadgorliwość Nortona?
Załączam linka do screenu skanu Nortonem z wykazem zainfekowanych plików:
Link:
http://naforum.zapodaj.net/40914455.jpg.html
Czy może ktoś już spotkał się z podobnym problemem?ops:
Pozdrawiam.

[switch]

Często programy antywirusowe uznają ComboFix jako wirusa, więc przy ściąganiu i używaniu ComboFixa należy wyłączyć Antivirusa. :-D

[Jurgi]

Różnego rodzaju programy antywirusowe i ochronne dość często się "gryzą". Polecam sprawdzać wątpliwe pliki przy pomocy serwisu virustotal.com — są skanowane przy pomocy kilkudziesięciu najlepszych silników antywirusowych.

[andrzej2y]

Dzieli za radę, ale jak sprawdzić wpis do rejestru w kluczu HKEY_...\Cur...( środowa pozycja na screenie z Nortona do którego link był w poprzednim pytaniu). Nie wiem jak to można wpisać do sprawdzenia w TotalVirus? Poprzedni użytkownik skanował TV w lutym br. i otrzymał wynik 11/37. U mnie dzisiejszy skan to 15/40 a szczegółowo wygląda jak poniżej:
x.exe otrzymany 2009.05.11 15:18:10 (CET)
Obecny status: zakończono
Wynik: 15/40 (37.5%)
Zwięzły
Drukuj wyniki Antywirus Wersja Ostatnia aktualizacja Wynik
a-squared 4.0.0.101 2009.05.11 -
AhnLab-V3 5.0.0.2 2009.05.11 -
AntiVir 7.9.0.166 2009.05.11 APPL/PsExec.E
Antiy-AVL 2.0.3.1 2009.05.11 -
Authentium 5.1.2.4 2009.05.10 -
Avast 4.8.1335.0 2009.05.10 -
AVG 8.5.0.327 2009.05.11 -
BitDefender 7.2 2009.05.11 -
CAT-QuickHeal 10.00 2009.05.09 -
ClamAV 0.94.1 2009.05.11 Pua.Hideexec
Comodo 1157 2009.05.08 Unclassified Malware
DrWeb 5.0.0.12182 2009.05.11 BATCH.Virus
eSafe 7.0.17.0 2009.05.10 -
eTrust-Vet 31.6.6497 2009.05.08 -
F-Prot 4.4.4.56 2009.05.10 -
F-Secure 8.0.14470.0 2009.05.11 -
Fortinet 3.117.0.0 2009.05.11 -
GData 19 2009.05.11 -
Ikarus T3.1.1.49.0 2009.05.11 -
K7AntiVirus 7.10.729 2009.05.08 Trojan.Win32.Malware
Kaspersky 7.0.0.125 2009.05.11 -
McAfee 5611 2009.05.10 Generic BackDoor
McAfee+Artemis 5611 2009.05.10 -
McAfee-GW-Edition 6.7.6 2009.05.11 Riskware.PsExec.E
Microsoft 1.4602 2009.05.11 Backdoor:Win32/Nircmd.A
NOD32 4064 2009.05.11 probably a variant of Win32/Agent
Norman 6.01.05 2009.05.08 -
nProtect 2009.1.8.0 2009.05.11 -
Panda 10.0.0.14 2009.05.11 Generic Backdoor
PCTools 4.4.2.0 2009.05.07 -
Prevx 3.0 2009.05.11 Medium Risk Malware
Rising 21.29.04.00 2009.05.11 Dropper.Win32.Mnless.GEN [Suspicious]
Sophos 4.41.0 2009.05.11 NirCmd
Sunbelt 3.2.1858.2 2009.05.09 VIPRE.Suspicious
Symantec 1.4.4.12 2009.05.11 Trojan Horse
TheHacker 6.3.4.1.324 2009.05.09 -
TrendMicro 8.950.0.1092 2009.05.11 -
VBA32 None 2009.05.11 -
ViRobot 2009.5.11.1729 2009.05.11 -
VirusBuster 4.6.5.0 2009.05.10 -
Dodatkowe informacje
File size: 2926108 bytes
MD5...: 9bbdc693eb3cd529b4e8bab24590e608
SHA1..: 01037279a8a93dd11ba16a366b4e781ae4670adc
SHA256: 209b6e4d0083a7ad8ba09b5542ef1d5af9a1fe3703262da6f1 eaa918d5da4ca8
SHA512: 6d8b025bebce2cc3189847c6387c7510a4f51ae836707a999e e464a278dbcef7
a1cdd8a59eefca14b46b7e9fe8e307612c0e27d30ce2b6ff68 23cb6eb600dbe4
ssdeep: 49152:t/c7m021IqlX+gGv+Trd9sanYDp2wSo56hjLTMrTOwzKzh30HLQE +tB16e
dzpXBR:6/FqgXvMr/pYDIw/2PMrvzKtkAJb
PEiD..: -
TrID..: File type identification
WinRAR Self Extracting archive (87.0%)
UPX compressed Win32 Executable (5.1%)
Win32 EXE Yoda's Crypter (4.4%)
Win32 Executable Generic (1.4%)
Win32 Dynamic Link Library (generic) (1.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x23060
timedatestamp.....: 0x48c7db70 (Wed Sep 10 14:36:32 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x17000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x18000 0xc000 0xb200 7.90 22974d2178bca291482daa3f1cae6f5d
.rsrc 0x24000 0x2000 0x1800 4.42 c453ee8fcc38b5e88d9d526a2282b293

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.DLL: RegCloseKey
> COMCTL32.DLL: -
> COMDLG32.DLL: GetOpenFileNameA
> GDI32.DLL: DeleteObject
> OLE32.DLL: OleInitialize
> SHELL32.DLL: SHGetMalloc
> USER32.DLL: SetMenu

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=9bbdc693eb3cd529b4e8bab24590e608' target='_blank'>http://www.threatexpert.com/report.aspx?md5=9bbdc693eb3cd529b4e8bab24590e608</a>
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PECompact, PE_Patch.UPX, UPX, UPX, PE_Patch.UPX, UPX, UPX
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=34B71EF31C8B3277A6142C7D5 1B51200BFE85A29' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=34B71EF31C8B3277A6142C7D5 1B51200BFE85A29</a>
packers (F-Prot): RAR, UPX
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9bbdc693eb3cd529b4e8bab24590e608' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9bbdc693eb3cd529b4e8bab24590e608</a>



UWAGA: VirusTotal jest darmową usługą utrzymywaną przez Hispasec Sistemas. Nie ma żadnych gwarancji co do dostępności lub ciągłości tej usługi. Pomimo, że wykrywalność złośliwego oprogramowania w przypadku kilku skanerów antywirusowych jest o wiele większa, niż tylko jednego, raporty nie mogą być 100% miernikiem szkodliwości lub nieszkodliwości danego pliku. Obecnie nie istnieje rozwiązanie gwarantujące 100% wykrywalność złośliwego oprogramowania.
Co mam o ytym sądzić. Czy nie nalży używać ComboFix'a, czy uznać,że Norton podobnie jek część programów Totala uznaje go za wirusa i se nie przejmować?
Jestem zdezoriętowany.
Pomocy !

[Marshall]

Combofix nie jest wirusem, choc niektore programy antywirusowe (zwlaszcza te gorsze) tak twierdza. To sprawdzony program, uzywany przez wielu uzytkownikow. Oczywiscie nie mozna wykluczyc, ze jakis wirus sie pod niego podszywa. Najbezpieczniej skasowac stary plik, sciagnac nowa wersje z jakiejs zaufanej strony i sprawdzic ponownie, czy wynik bedzie identyczny.
Wpis w rejestrze sam w sobie nie moze byc wirusem - jedynie moze do niego linkowac, np. aby uruchamial sie podczas startu systemu.

[andrzej2y]

Marshall dziekuję. Zrozumiałem, usunę. Myślałem,że mozna go pobrać na pulpit i w razie potrzby uruchamiać. Teraz będe go pobierał za kazdym razem na nowo kiedy bedzie potrzebny.
Pozdrawiam