Strange scan result...

Viruses and worms
1

???
Here is the scan result of my hard drive:

  • Rapport avast!
  • Ce fichier est généré automatiquement
  • Tâche utilisée ‘Interface utilisateur simplifiée’
  • Débuté le lundi 31 juillet 2006 02:36:26
  • VPS : 0630-4, 29-07-2006

C:\WINDOWS\Downloaded Program Files\HDPlugin1018.dll [L] Win32:Adware-gen. [Adw] (0)
Fichier déplacé avec succès vers la zone de quarantaine…

C:\WINDOWS\loader.dll [L] Win32:Trojan-gen. {Other} (0)
Fichier déplacé avec succès vers la zone de quarantaine…

C:\Program Files\Microsoft Office\Office\Modèles de pages Web\Styles\Randonnée.dot\Data\ [E] archive ARC corrompue. (42133)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\Ad-Aware SE Default.skn [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\arrow1.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\arrow2.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bck1.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt11.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt12.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt13.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt21.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt22.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt23.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt31.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt32.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt33.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt41.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt42.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt43.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt51.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt52.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt53.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt61.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\bt62.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\checkbox1.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\checkbox2.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\checkbox3.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\checkbox4.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\defbtn1.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\defbtn2.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\defbtn3.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph1.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph2.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph3.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph4.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph5.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph6.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\glyph7.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\main.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\preview.bmp [E] L’archive est protégée par mot de passe. (42056)

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\sprite1.bmp [E] L’archive est protégée par mot de passe. (42056)

Fichiers infectés : 2
Total des fichiers : 106069
Total des dossiers : 1687
Taille totale : 3,2 GB

  • Tâche arrêtée : lundi 31 juillet 2006 14:32:32
  • Programme en exécution était 11 heure(s), 56 minute(s), 6 seconde(s)

WHAT bugs me is that I found a virus with my anti virus ALWAYS ON…

Concerning Microsoft Office, I did a second scan
with this result:

  • Rapport avast!
  • Ce fichier est généré automatiquement
  • Tâche utilisée ‘Interface utilisateur simplifiée’
  • Débuté le lundi 31 juillet 2006 17:05:11
  • VPS : 0631-0, 31-07-2006

C:\Program Files\Microsoft Office\Office\Modèles de pages Web\Styles\Randonnée.dot\Data\ [E] Le fichier est une bombe de décompression (“Decompression Bomb”) (42110)
Fichiers infectés : 0
Total des fichiers : 65
Total des dossiers : 1
Taille totale : 465,4 KB

  • Tâche arrêtée : lundi 31 juillet 2006 17:05:25
  • Programme en exécution était 14 seconde(s)

I searched for “Decompression Bomb” in the help file with no results.

Could you please bring me some help?
What do I do with these files??

Many many thanks…

Jean Ouellet
Montréal

2

I don’t see any strange scan result at all.

There are more places to search then just the help file you know.
Like on this webboard or GOOGLE.

So, what seem to be the problem?

3

Hello,

Thanks for answering.

What do I do with the microsoft file:

C:\Program Files\Microsoft Office\Office\Modèles de pages Web\Styles\Randonnée.dot\Data\ [E] archive ARC corrompue. (42133)

On the second scan of the file, I got this: (Different):

C:\Program Files\Microsoft Office\Office\Modèles de pages Web\Styles\Randonnée.dot\Data\ [E] Le fichier est une bombe de décompression (“Decompression Bomb”) (42110)

What is a “Decompression Bomb” ??

And lastly, How do I get a virus with AVAST scanning at ALL times??:
C:\WINDOWS\loader.dll [L] Win32:Trojan-gen. {Other} (0)
Fichier déplacé avec succès vers la zone de quarantaine…

Merci beaucoup
Jean

4

Send the office file to JOTTI and let us know the results.

Use the search option on this board as well as GOOGLE to find out what a decompression bomb is.
It has been explained many times already.

5

Dear Eddy,

I know pretty well Google sir.

I just have the feeling I’m bodering you
with my stupid questions…
I might as well choose another forum
AND ANOTHER ANTI VIRUS.

Thanks anyway.

Jean

6

Hallo Jean,

Avast is a good product. But I can imagine that you like an answer to your technical problem, why this was flagged. Well, if there is an improper code generated in Shared Classes JFile Choosen, you end up with the corrupted file as found. I would advise you to renew your Sun Java to the latest version. That would also make it safer. Consider this also: corrupt ARC files cannot be extracted.
We need your postings, so these things become clear. Welcome to the avast community.

polonus

7

Thank you polonus,

I was surprised to have 2 different analysis
with the file Randonnée.dot

First: archive ARC corrompue

Second: Le fichier est une bombe de décompression (“Decompression Bomb”).

But that file is ok when I scan it with the “context” (right) button of the mouse.
So I will consider that file ok.

And as the complete scan detected a virus…
I wonder how I could have it since AVAST is always ON…

And lastly, I suppose the Lavasoft files
protected by a password are ok,
and that Avast acted “normal”…

Thanks again for your answers.
Jean Ouellet.

8

Hallo Jean,

A decompression bomb can be dangerous, if it is genuine.
Read this here for an explanation: http://solitude.vkps.co.uk/Archives/2006/01/08/DecompressionBombs

In the old days it was the weapon of choice for IT people that were made redundant, and wanted to get back at their boss.
Just imagine that you get a picture in a mail with these qualities,
just imagine what it does with your system in that decompression ratio, and it is not like the normal ratio of a ZIP file.

Patch your system fully, come here often to ask or help others,
I wish you many a day free of any malware,

P.S. if a file is corrupted or as Francophones say “corrompue” then it can slip under the scanning horizon to be found up later.
This can be the explanation if you ask me.

D

polonus

9

Hello polonus,

All well noted…
and thanks again

Jean*

P.S.: …and Francophones say “corrompue”…

:smiley:

10

That was corrected as well. Merci bien.

D

PS This text was also found: "microsoft works avec le rapport suivant:impossible de scanner,archive ARC corrompue.

There are certain third party files that cannot be scanned by anti-virus solututions for reasons only they can disclose (some are obvious). It is not only Avast that meets with such problems once in a while.

polonus

11

@ JEAN*
Reference this type of entry:
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask\defbtn1.bmp [E] L’archive est protégée par mot de passe. (42056)

These are password protected by AdAware to protect their skins, so if there are any skins you don’t use get rid of them and the list of files that can’t be scanned will be reduced. The strange thing is these appear to be the default skin and I use that too but I don’t have these appear in my list of files that can’t be scanned.

Getting rid of any old (three weeks or more) quarantine items in adaware as they too are password protected.

12

Thanks again @ polonus and DavidR
for the extras informations…

I finally got rid of the Office file,
as I don’t use “modèles de page Web”.

:slight_smile:

Jean*