C:\Users\naampc\AppData\Local\Norman Malware Cleaner\Quarantine\ is de quarantaine map van Norman.
Vermoedelijk werd het bestand op een andere locatie aangetroffen en daarna in C:\Users\naampc\AppData\Local\Norman Malware Cleaner\Quarantine geplaatst.

Waarschijnlijk is het bestand in quarantaine versleuteld. Dan heeft het geen nut om het te controleren op www.virustotal.com. Zet het bestand terug uit quarantaine, ga naar www.virustotal.com en klik op "Bladeren". Selecteer het desbetreffende bestand.

Even geduld en je ziet het resultaat van ± 40 scanners. Wil je dat resultaat aan een ander laten zien, kopieer dan de link die na de scan in de adresbalk staat en geef die link door.

Als je hebt gedaan wat LightFrame zegt dan ben ik benieuwd wat de originele locatie was van dat J.Blackhole.C bestand en wat voor soort bestand het is (.exe, .dll enz).

Ik heb niks kunnen vinden op 'J.Blackhole.C'

Heb je misschien source code gedownload van SourceForge?
Van SF ken ik nl. Blackhole, een soort van spamblocker die in C is geschreven (voor *nix systemen):
'Blackhole is a C program designed to stop spam and prevent unwanted sendersfrom sending you email.'
http://sourceforge.net/projects/blackholespam/

Echter, op packetstormsecurity.org kan je code downloaden van Blackhole.C een backdoor die zich als een (nep) daemon maskeert. Dit komt wat dichter bij malware:
'A basic backdoor that is a small, portable, and functional fake daemon. You tell it what you want it to run as under 'ps' and what port to bind to in the defines. Detailed description in the header.'
http://packetstormsecurity.org/UNIX/penetration/rootkits/blackhole.c

Op het Microsoft Security Portal staat het wel volgende over Win32/Blackhole.C:
This threat is classified as a Trojan - Backdoor.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Backdoor%3AWin32%2FBlackhole.C&ThreatID=-2147402241

Ben benieuwd wat de scan op virustotal uitwijst.

als ik choi en LightFrame hierboven mag aanvullen, dan
Ja, Norman geeft bovengemiddeld vaak false positives.
AV-test en av-comparatives zijn vrij bekende namen op het gebied van het testen van antivirus-producten
http://www.av-test.org/en/tests/test-reports/
http://www.av-comparatives.org/en/comparativesreviews

Twee dingen zou ik je bij het lezen v/d tests willen aanraden:
Duik er niet meteen al te diep in zou ik zeggen, tenzij je het interessante materie vindt natuurlijk ;), vaak zegt de volgorde waarin ze uit de test komen al meer dan voldoende. Heel simpel gezegd: met de top 5 zit je vaak erg goed, de middenmoot ook prima, alleen de lagere regionen zijn vaak handig om te vermijden bij het aanschaffen van een nieuwe licentie (minder waar voor je geld).
Norman staat het afgelopen jaar niet meer in elke test vermeld, niet zozeer vanwege de resultaten van eerdere tests, als wel dat het marktaandeel vrij klein is.

Over Norman gesproken, heb dit anti-virus pakket redelijk wat jaren gebruikt, maar achteraf niet naar volledige tevredenheid. Zelf vond ik het gebruiken van de proefversies van diverse andere producenten (Symantec/Norton, Kaspersky, F-secure, GDATA enz. enz.) een absolute verademing. (Gebruik inmiddels dus ook een ander product).
Ik zou je t ook echt aanraden om een aantal andere scanners een kans te geven met de proefversies van een maand, voordat je verlengen gaat bij Norman.

Het zou ook kunnen dat het om iets anders gaat gezien de datum van het publiceren op packetstormsecurity; en waarschijnlijk draait de topic-starter Windows ;)
Vermoed eerder dat (ook op basis van eigen ervaring met Norman) dat Norman met de benaming "Blackhole" eerder verwijst naar de commerciële Russische exploit kit. Mogelijk dat de "J" verwijst naar dat het om een java-code gaat die gedetecteerd / geblokkeerd is.
http://research.zscaler.com/2011/02/blackhole-exploits-kit-attack-growing.html

Maar inderdaad, ook erg beneiuwd naar wat uit de scan van Virustotal komt (als dat lukt tenminste, en Norman niet direct het spul na het uit quarantaine halen weer terug de digitale cel ingooit ;)

Heeft Norman bij jou eerder iets met 'Blackhole' er in gedetecteerd? Zoals je waarschijnlijk weet heeft elke AV hun eigen unieke benaming voor dezelfde malware maar In hun virusbibliotheek kan nl. ik niets vinden.

Als ik naar de omschrijving van de exploit-kit en de html kijk dan gaat het hier om een drive-by download; dus een web-based aanval die-in dit geval- een jar file download die uiteindelijk een executable (info.exe) activeert.

Norman Maware Cleaner is toch zo'n gratis on demand scanner die verder geen http/web-scanner heeft?
In dat geval zou Norman Malware Cleaner waarschijnlijk alleen het gedownloade jar-bestand kunnen detecteren en dus niet de javaScript en/of de code van de Java-applet die wordt gegenereerd.

Op de de virustotal resultaten van 2011-02-07 waar de pagina van zscaler naar linkt wordt er helaas niets gedetecteerd door Norman dus kunnen we niet zien of het gescande bestand (info.exe) ook daadwerkelijk als J.Blackhole.C wordt gedetecteerd (door Norman).

Maar goed, op dit moment is het alleen maar speculatie van mijn kant. Laten we kijken of de OP het bestand kan laten scannen op virustotal.

[Ja dat klopt,het is een gratis on-demand scanner,ik gebruik Norton 360 als vaste virusscanner en daarnaast diverse on-demand virus/spyware/malware scanners. Ik wil het aangetroffenne wel laten scanen door Virustotal maar het zit in quarantaine,ik kan het wel uit de quarantaine verwijderen ,maar dan kan weet ik ook niet hoe ik dat malwarebestand weer te pakken krijg om te laten scannen door virustotal.com. quote]Door choi:
Heeft Norman bij jou eerder iets met 'Blackhole' er in gedetecteerd? Zoals je waarschijnlijk weet heeft elke AV hun eigen unieke benaming voor dezelfde malware maar In hun virusbibliotheek kan nl. ik niets vinden.

Als ik naar de omschrijving van de exploit-kit en de html kijk dan gaat het hier om een drive-by download; dus een web-based aanval die-in dit geval- een jar file download die uiteindelijk een executable (info.exe) activeert.

Norman Maware Cleaner is toch zo'n gratis on demand scanner die verder geen http/web-scanner heeft?
In dat geval zou Norman Malware Cleaner waarschijnlijk alleen het gedownloade jar-bestand kunnen detecteren en dus niet de javaScript en/of de code van de Java-applet die wordt gegenereerd.

Op de de virustotal resultaten van 2011-02-07 waar de pagina van zscaler naar linkt wordt er helaas niets gedetecteerd door Norman dus kunnen we niet zien of het gescande bestand (info.exe) ook daadwerkelijk als J.Blackhole.C wordt gedetecteerd (door Norman).

Maar goed, op dit moment is het alleen maar speculatie van mijn kant. Laten we kijken of de OP het bestand kan laten scannen op virustotal.


[/quote]

Kan je in de logs van de scanresultaten of de quarantaine niet het bestandspad naar de originele locatie vinden? Dat wordt normaal gesproken wel aangegeven. Dat is de locatie waar het in quarantaine geplaatste bestand naar hersteld wordt.

Als je dat kan vinden dan dien je op de virustotal pagina via 'Bladeren" naar de betreffende locatie te navigeren om het te uploaden (nadat je het bestand uit de quarantaine gehaald hebt natuurlijk).

Als ik tijd heb en je komt er niet uit dan zal ik even op een Windows machine kijken hoe NMC precies werkt.

Zoiets:
http://www3.pcmag.com/media/images/230343-norman-antivirus-antispyware-8-norman-malware-cleaner.jpg

Ja, dacht van wel (inmiddels wel een behoorlijk tijdje terug) en nog een aantal 'onduidelijke detecties'.
Ironie/toeval wilde dat het waarschijnlijk om een false-positive ging, want kort daarvoor met twee bootable antivirus-cd's (dacht AVG en F-secure) gescant & deze vonden niks.
Vervolgens ook geprobeerd naar virustotal te uploaden door uit quarantaine te halen, maar Norman deed dit bestand telkens binnen een seconde weer terug de quarantaine in (vandaar ook laatste zin in de vorige reactie).
Norman onderdelen uitschakelen hielp toen niet, want dan kan je de quarantaine niet openen (op zich maar goed ook ;)

Dus ik kan jou en de topic-starter helaas niet meer zeggen (sorry), klinkt leuk wat ik hierboven meld, maar is eigenlijk waardeloos :(

Norman toont in het quarantaine tabblad de originele locatie van het verwijderde bestand
Selecteer het bestand en klik op Restore om het terug te zetten (zie edit onderin het bericht!).
http://i207.photobucket.com/albums/bb80/Keyzer_S/norman_quarantaine1.png

Noteer het bestandspad.
Op virustotal klik je vervolgens op Choose . Navigeer met de verkenner naar het bestand.
Klik in de verkenner op Open en vervolgens op virustotal op Send File
http://i207.photobucket.com/albums/bb80/Keyzer_S/norman_restore.png

Plak de url van de pagina met de scanresultaten op het forum en vermeldt daarbij de volledige locatie (dus inclusief de naam) van het bestand.

Wil je echt weten of het geen false positive betreft, upload het bestand naar de sandbox van ThreatExpert:
http://www.threatexpert.com/submit.aspx
De analyse van ThreatExpert geeft exact aan wat het (uitvoerbaar) bestand precies uitspookt op je systeem. Iemand die daar kaas van heeft gegeten kan zien of het al of niet om kwaadaardige acties gaat.

Edit:
Het beste lijkt me om het terugzetten uit de quarantaine te doen zonder internetverbinding (kabel eruit) in geval het echt om een backdoor gaat en de aanvaller toegang tot je systeem heeft.
Daarna kan je de locatie van de vermoedelijke malware weer door Norman laten scannen en in quarantaine laten zetten.
Herstel daarna de internetverbinding weer.

Hier de TS:De malware gevonden door Norman is deze:JS/Blackhole.C.

Umm.. ja dat had je al verteld in het originele bericht.
De vraag was vervolgens of het ook echt malware is of een fp.
Ik zeg upload het naar ThreatExpert voor een analyse (zie eerder bericht).

Ik vermelde toen alleen J/Blackhole.C deze info was dus onvolledig het is dus JS/Blackhole.C, kan het bestand niet vanuit de quarantaine pakken dus moet ik het eerst weer loslaten op mn pc en dan het betreffende bestand zien op te sporen om te kunnen verzenden naar threat expert. Dat ga ik nu idd maar eens doen.