"Faux positif" ou pas?

Résolu
optoco Messages postés 28 Statut Membre -  
optoco Messages postés 28 Statut Membre -
Bonjour,

Mon pc portable est équipé avec Bit Defender Internet sécurity 2010. Je lance régulièrement des analyses et il ne m'a jamais rien trouvé. La semaine dernière, j'ai télécharger Malwarebyte's, avec lequel j'ai fait un scan, juste aprés une analyse approfondie avec Bit Defender(qui n'a rien trouvé).
Malwarebyte's m'indiquera alors avoir trouvé 1 fichier infecté. Dans son rapport je trouverais ceci:
Fichier(s) infecté(s):
C:\Windows\Setup\SCRIPTS\Install.exe (Trojan.VkHost) -> No action taken.


Alors, mes questions sont les suivantes: Ai-je une raison de m'inquiéter? Et si oui, que doit-je faire?

Après quelques recherches sur le net, j'ai vaguement vu que deux outils pourraient éventuellement me venir en aide (Spybot Search and Destroy et Hijackthis) mais je n'ose pas les utiliser.

Les raisons? J'ai déjà testé le premier, qui s'est dispersé à la manière d'une pieuvre, un peu partout sur mon PC, et se fut une drôle de galère à désinstaller. Donc je suis dubitatif à son sujet !!! Concernant le second, il est quasiment partout recommandé de ne pas le mettre entre n'importe quelles mains, car un novice pourrait faire bien plus de mal que de bien; et au regard de mon niveau informatique, cela serait carrément suicidaire !!!

Des idées ? Des conseils ? Des avis ? Je suis preneur.

Merci et @+...
Configuration: Windows 7 / SRware Iron

24 réponses

  • 1
  • 2
  1. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
     
    Salut,

    Quelle taille le fichier?
    0
  2. Utilisateur anonyme
     
    bonjour
    spybot est très bien, le meilleur antimalware gratuit avec malwarebytes
    quand à hijackthis, ce n'est pas un antispyware, il se contente de t'indiquer les entrées de registre installées sur ton PC, il ne distingue pas le bon du mauvais. On ne supprime rien dans hijackthis sans avis de connaisseurs
    tu peux poster ton ficher là, tu auras déjà une quasi certitude s'il est nocif ou pas.
    https://www.virustotal.com/gui/
    0
  3. optoco Messages postés 28 Statut Membre
     
    Merci pour vos réponses ultra rapide!!!

    Le fichier représente un poids de 140Ko.

    Sur vos conseils, j'ai été voir Virustotal, et je lui ai fait analyser le fichier. Résultat:

    file://localhost/C:/Users/Sabatier/Desktop/Analyse%20par%20Virustotal.htm

    Personnellement, cela ne me parle pas beaucoup, mais si je comprends bien, 11 des 41 antivirus auraient bel et bien trouvé quelque chose. Donc, soit on a 11 antivirus qui détectent un faux positif, soit on a 30 antivirus relativement peu utiles.

    Quelle est votre interprétation?
    0
    1. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
       
      Tu peut nous donner l'adresse du résultat?
      0
  4. Utilisateur anonyme
     
    oui recommence et donne l'adresse
    si les meilleurs (bit defender kaspersky gdata fsecure nod 32) disent que non en général c'est bon
    si il y a une mention "gen" ou"generic", peut être un faux positif
    0
    1. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
       
      C'est surtout le lien Threatexpert (en bas) qu'il faut regarder si il y en a un.

      Et le code MD5 pour faire d'autres recherches.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. optoco Messages postés 28 Statut Membre
     
    Désolé, j'avais pourtant vérifier, et le lien fonctionnait tout à l'heure...
    Donc voici le rapport de Virustotal:

    Fichier Install.exe reçu le 2010.03.02 20:16:16 (UTC)
    Situation actuelle: terminé
    Résultat: 11/41 (26.83%)
    Formaté
    Impression des résultats

    Antivirus Version Dernière mise à jour Résultat

    a-squared 4.5.0.50 2010.03.02 Worm.BAT.Autorun.fl!A2
    AhnLab-V3 5.0.0.2 2010.03.02 -
    AntiVir 8.2.1.180 2010.03.02 DR/AutoRun.FL
    Antiy-AVL 2.0.3.7 2010.03.02 -
    Authentium 5.2.0.5 2010.03.02 -
    Avast 4.8.1351.0 2010.03.02 -
    AVG 9.0.0.730 2010.03.02 -
    BitDefender 7.2 2010.03.02 -
    CAT-QuickHeal 10.00 2010.03.02 -
    ClamAV 0.96.0.0-git 2010.03.02 -
    Comodo 4091 2010.02.28 -
    DrWeb 5.0.1.12222 2010.03.02 -
    eSafe 7.0.17.0 2010.03.02 -
    eTrust-Vet 35.2.7335 2010.03.02 -
    F-Prot 4.5.1.85 2010.03.02 -
    F-Secure 9.0.15370.0 2010.03.02 -
    Fortinet 4.0.14.0 2010.02.28 -
    GData 19 2010.03.02 -
    Ikarus T3.1.1.80.0 2010.03.02 -
    Jiangmin 13.0.900 2010.03.02 -
    K7AntiVirus 7.10.987 2010.03.02 Worm.BAT.Autorun.fl
    Kaspersky 7.0.0.125 2010.03.02 Worm.BAT.Autorun.fl
    McAfee 5908 2010.03.02 W32/Autorun.worm!ie
    McAfee+Artemis 5908 2010.03.02 W32/Autorun.worm!ie
    McAfee-GW-Edition 6.8.5 2010.03.02 Heuristic.LooksLike.Trojan.Dropper.C
    Microsoft 1.5502 2010.03.02 -
    NOD32 4910 2010.03.02 -
    Norman 6.04.08 2010.03.02 -
    nProtect 2009.1.8.0 2010.03.02 -
    Panda 10.0.2.2 2010.03.02 -
    PCTools 7.0.3.5 2010.03.02 BAT.Compan.B
    Prevx 3.0 2010.03.02 -
    Rising 22.37.01.04 2010.03.02 -
    Sophos 4.50.0 2010.03.02 -
    Sunbelt 5729 2010.03.02 -
    Symantec 20091.2.0.41 2010.03.02 -
    TheHacker 6.5.1.7.218 2010.03.02 W32/VB.axb
    TrendMicro 9.120.0.1004 2010.03.02 PAK_Generic.001
    VBA32 3.12.12.2 2010.03.02 Worm.BAT.Autorun.fl
    ViRobot 2010.3.2.2208 2010.03.02 -
    VirusBuster 5.0.27.0 2010.03.02 -

    Information additionnelle
    File size: 140800 bytes
    MD5 : 8ce0c53b274e69a3698bce0ccac2b8ed
    SHA1 : adc829c56305dffeefe378383f9f24f807171310
    SHA256: e916681c6e5ed505ffc78538ef80b56fb633c8fcb71ce816c66517244e4497ec
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x4E100
    timedatestamp.....: 0x498D2B24 (Sat Feb 7 07:33:08 2009)
    machinetype.......: 0x14C (Intel I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x2C000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x2D000 0x22000 0x21E00 7.99 6d19d9c9709ea0815ed3181b1ba6e277
    .rsrc 0x4F000 0x1000 0x600 4.90 da2a2bfdb4040e0d3433f94e61bae9f7

    ( 7 imports )

    > comctl32.dll: InitCommonControls
    > gdi32.dll: SetBkColor
    > kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
    > msvcrt.dll: memset
    > ole32.dll: CoInitialize
    > shell32.dll: ShellExecuteExA
    > user32.dll: IsChild

    ( 0 exports )
    TrID : File type identification
    UPX compressed Win32 Executable (39.5%)
    Win32 EXE Yoda's Crypter (34.3%)
    Win32 Executable Generic (11.0%)
    Win32 Dynamic Link Library (generic) (9.8%)
    Generic Win/DOS Executable (2.5%)
    ssdeep: 3072:R7cWbM4KH3TZ9Mb7WKLcJ0GaSiE3hhTpOI7zuXq+USoiKJercqeZxuZurWOout:RFo4Eu7LA0OpFOIP/WohjJiOoS
    sigcheck: publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    PEiD : UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
    packers (Kaspersky): UPX
    packers (F-Prot): UPX_LZMA
    RDS : NSRL Reference Data Set
    -


    Vos avis?
    0
  7. optoco Messages postés 28 Statut Membre
     
    Le rendu n'est pas le même que sur le site virus total, mais j'ai pas réussi à faire mieux.
    Du coup , se n'est pas tellement lisible, mais on devine quand même...
    0
  8. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
     
    Supprime ce fichier,ils sont plusieurs a ètre du mème avis.

    http://www.virustotal.com/analisis/e916681c6e5ed505ffc78538ef80b56fb633c8fcb71ce816c66517244e4497ec-1266362188

    Et de toute façon,je ne crois pas que tu en ait besoin ou qu'il soit nécessaire pour le bon fonctionnement de Windows.

    Traduction Google:http://translate.google.com/...

    Oui,quand on lis bien,malveillant. ( En rouge )

    Les fichiers qui l'accompagne ne le semble pas.

    Et il est toujour dans la base de donnée de Kaspersky 7.0.0.125 2010.02.16 Worm.BAT.Autorun.fl
    0
  9. optoco Messages postés 28 Statut Membre
     
    Carrément le supprimer???
    C:\Windows\Setup\SCRIPTS\Install.exe
    Ok, c'est un fichier qui ne fait que 140Ko, mais je ne voudrais pas avoir à le regretter!!!

    Petit détail, lorsque je vais jusqu'au fichier "Install.exe" et que je veux l'ouvrir, il y a une fenêtre qui me demande "voulez vous autoriser le programme suivant à apporter des modifications à cet ordinateur?"; Et je n'ai pas osé lui dire oui, ne connaissant pas les risques que j'encours...
    0
  10. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
     
    Ne l'exécute surtout pas.

    Si tu veut le garder comme souvenir,

    Utilise Winrar ---> Ajouter a l'archive ---> VIRUS.RAR et supprime l'original.
    0
  11. optoco Messages postés 28 Statut Membre
     
    Dans le doute on s'abstient, j'ai drôlement bien fait apparement.
    Tu semble convaincu de l'inutilité de ce fichier.
    Donc, si je le supprime, il va se retrouver dans la corbeille. Du coup, si un problème se présente, je serais en mesure de le restaurer et de corriger ainsi le problème; sauf si ce fichier intervient dans le programme de démarrage du PC, auquel cas je serais "marron".
    Mon raisonnement est bon?

    Néanmoins, n'existerait-il pas un petit logiciel qui irai farfouiller dedans pour en extraire la cause?
    0
  12. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
     
    C'est le fichier Worm.BAT.Autorun.fl de Microsoft Corporation peut ètre?

    Regarde les propriétés du fichier,compagnie,version...

    Indispensable pour le démarrage ,Certainement pas.
    0
  13. optoco Messages postés 28 Statut Membre
     
    Le dossier Setup fait 140Ko et comporte deux sous dossiers: SCRIPTS (140Ko) et State (42octets).
    SCRIPTS fait donc 140Ko et comporte 3 dossiers: Install (137Ko), localpacks (3Ko) et Setupcomplete (1Ko)

    Dans les propriétés de "Install"on trouve comme infos:

    Type de fichier: Application(.exe)
    Description: Install
    Emplacement: C:\Windows\Setup\SCRIPTS
    Poids 137 Ko
    Créer le 19/02/2010
    Modifier le 14/08/2009 (comment est-ce possible???)
    Dernier accés le 19/02/2010
    0
    1. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
       
      Modifier le 14/08/2009
      Créer (Copié) le 19/02/2010 (Dans ton PC)

      C'est une merde,supprime ça.

      C'est probablement une salopperie pour t'installer un Rogue ou quelque chose du genre.
      0
  14. Utilisateur anonyme
     
    Salut,

    peux tu me soumettres le fichier pour analyse ?

    1/crypter le fichier :
    http://www.aranud.fr/soumettre-un-fichier/

    2/soumettre le fichier :
    http://www.aranud.fr/soumettre-un-fichier/

    ça prend 5 minutes, merci beaucoup.
    0
    1. optoco Messages postés 28 Statut Membre
       
      Bonjour,

      C'est fait Dorgane.

      @+...
      0
  15. Utilisateur anonyme
     
    il est listé virus par a squared, sans doute le nettoierait il
    https://www.emsisoft.com/fr/
    selon moi si malwarebytes a mis "no action taken" c'est qu'il ne juge pas utile de le supprimer, sinon il t'aurait proposé de redémarrer pour achever la suppression au redémarrage.
    11 sur 44 c'est pas beaucoup surtout avec deux généric et un heuristique autant dire qu'ils ne savent pas trop
    Peu de réponses google, selon moi ni un virus bien méchant ni un fichier indispensable, un fichier applicatif peut être mais la question importante étant :
    as tu des signes d'anomalie de fonctionnement sur ton PC ?
    0
    1. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
       
      "no action taken"

      Ca veut juste dire que optoco n'avait pas décidé de le supprimer a ce moment la.
      0
  16. Utilisateur anonyme
     
    et le scan a une semaine...:-)
    il me semble que malwarebytes propose la suppression, il demande spybot comme si malwarebytes n'avait pas pu le supprimer, je ne comprends plus trop alors...
    D'autant que malwarebytes a une quarantaine, en cas de problème, redémarrage en mode sans echec on restaure et le tour est joué, mais encore une fois très peu de réponses google significatives pour ce fichier ni ce virus, ou tout nouveau ou faux positif surtout s'il n'y a aucune anomalie de fonctionnement
    0
  17. fabul Messages postés 42136 Date d'inscription   Statut Modérateur Dernière intervention   6 062
     
    Ce qui pourrait ètre fait,c'est ouvrir regedit et taper Ctrl+F (Recherche),coller:Windows\Setup\SCRIPTS\Install.exe

    et lancer la recherche,

    Ensuite,copier le nom de la clé registre , peut ètre CLSID/( *********-****-****-********* )

    Et chercher sur Google a quoi correspond *********-****-****-*********

    As-il déja été vu quelque part dans le cas d'une infection...

    Aide toi et le ciel t'aidera.
    0
  18. optoco Messages postés 28 Statut Membre
     
    Merci pour toutes ces réponses.

    Effectivement, Malwarebyte's demande bien si on veut supprimer ou non.
    Et à vous lire, je penses que j'ai du faire une erreur d'interprétation lorsque Malwarebyte's m'a posé la question. J'ai dit non en croyant qu'il voulait me supprimer le fichier alors qu'il me demandait en réalité si je voulais supprimer le problème. Si c'est le cas, alors il me faut juste relancer Malwarebyte's et lui dire de supprimer. Quelqu'un pour me le confirmer?

    Pour ce qui est du fonctionnement, tout marche bien, ou en tout cas si il y a un dysfonctionnement, je ne l'ai pas encore perçu. Cependant, j'ai eu un petit problème la semaine passé, juste aprés avoir télécharger Mozilla Firefox. Internet s'est mis à cafouiller en m'ouvrant des pages blanche sur lesquelles mes trois navigateurs bloqués. En fouinant, je suis tombé sur une "PDFforge Toolbar" qui me foutait la pagaille. Elle est apparement arrivée jusqu'à mon PC lorsque j'ai téléchargé PDF creator. Cette merde est resté inactive jusqu'au téléchargement de Mozilla, puis mon PC s'est mit a ramer de plus en plus jusqu'à paralyser internet (tout ça sur une demi-journée). Apres désinstallation de cette "toolbar", tout est rentré dans l'ordre. Mais peut-être a-t-elle laissé des traces?

    Dorgane, je me penche sur ta demande d'ici quelques minutes (il faut que je couche les filles)...
    0
  19. optoco Messages postés 28 Statut Membre
     
    Erreur
    0
  20. optoco Messages postés 28 Statut Membre
     
    fabul,
    Je viens d'effectuer la procédure que tu m'as indiqué. Le "hic", c'est qu'il ne semble rien trouver dans le registre. Aprés avoir été en phase de recherche, il ouvre une fenêtre m'indiquant "recherche dans le registre terminée". Là, je n'ai d'autre choix que de cliquer sur Ok, me renvoyant à la page de "regedit" (editeur du registre).
    Dommage, l'idée été pourtant intéressante...
    0
  21. Utilisateur anonyme
     
    lu,

    1/ désactive la restauration systeme :
    https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

    2/ démarre en mode sans echec :

    registre à supprimer :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe

    Registre à modifier :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify valeur doit être à 0
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify valeur doit être à 0
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify valeur doit être à 0

    Fichiers à supprimer :
    C:\Windows\Setup\SCRIPTS\Install.exe
    C:\Windows\7Loader.TAG

    3/ redemarre et réactive la restauration.

    Fichiers soumis à bitdefender, nod32 et mse...en attente de leur confirmations.
    0
  • 1
  • 2