"Faux positif" ou pas?Résolu/Fermé

Question

Bonjour,

Mon pc portable est équipé avec Bit Defender Internet sécurity 2010. Je lance régulièrement des analyses et il ne m'a jamais rien trouvé. La semaine dernière, j'ai télécharger Malwarebyte's, avec lequel j'ai fait un scan, juste aprés une analyse approfondie avec Bit Defender(qui n'a rien trouvé).
Malwarebyte's m'indiquera alors avoir trouvé 1 fichier infecté. Dans son rapport je trouverais ceci:
Fichier(s) infecté(s):
C:\Windows\Setup\SCRIPTS\Install.exe (Trojan.VkHost) -> No action taken.

Alors, mes questions sont les suivantes: Ai-je une raison de m'inquiéter? Et si oui, que doit-je faire?

Après quelques recherches sur le net, j'ai vaguement vu que deux outils pourraient éventuellement me venir en aide (Spybot Search and Destroy et Hijackthis) mais je n'ose pas les utiliser.

Les raisons? J'ai déjà testé le premier, qui s'est dispersé à la manière d'une pieuvre, un peu partout sur mon PC, et se fut une drôle de galère à désinstaller. Donc je suis dubitatif à son sujet !!! Concernant le second, il est quasiment partout recommandé de ne pas le mettre entre n'importe quelles mains, car un novice pourrait faire bien plus de mal que de bien; et au regard de mon niveau informatique, cela serait carrément suicidaire !!!

Des idées ? Des conseils ? Des avis ? Je suis preneur.

Merci et @+...

fabul · Answer

Salut,

Quelle taille le fichier?

Utilisateur anonyme · Answer

bonjour
spybot est très bien, le meilleur antimalware gratuit avec malwarebytes
quand à hijackthis, ce n'est pas un antispyware, il se contente de t'indiquer les entrées de registre installées sur ton PC, il ne distingue pas le bon du mauvais. On ne supprime rien dans hijackthis sans avis de connaisseurs
tu peux poster ton ficher là, tu auras déjà une quasi certitude s'il est nocif ou pas.
https://www.virustotal.com/gui/

optoco · Answer

Merci pour vos réponses ultra rapide!!!

Le fichier représente un poids de 140Ko.

Sur vos conseils, j'ai été voir Virustotal, et je lui ai fait analyser le fichier. Résultat:

file://localhost/C:/Users/Sabatier/Desktop/Analyse%20par%20Virustotal.htm

Personnellement, cela ne me parle pas beaucoup, mais si je comprends bien, 11 des 41 antivirus auraient bel et bien trouvé quelque chose. Donc, soit on a 11 antivirus qui détectent un faux positif, soit on a 30 antivirus relativement peu utiles.

Quelle est votre interprétation?

Utilisateur anonyme · Answer

oui recommence et donne l'adresse
si les meilleurs (bit defender kaspersky gdata fsecure nod 32) disent que non en général c'est bon
si il y a une mention "gen" ou"generic", peut être un faux positif

optoco · Answer

Désolé, j'avais pourtant vérifier, et le lien fonctionnait tout à l'heure...
Donc voici le rapport de Virustotal:

Fichier Install.exe reçu le 2010.03.02 20:16:16 (UTC)
Situation actuelle: terminé 
Résultat: 11/41 (26.83%)
  Formaté
Impression des résultats 

Antivirus	      Version	Dernière mise à jour	Résultat

a-squared      4.5.0.50	2010.03.02	   Worm.BAT.Autorun.fl!A2
AhnLab-V3     5.0.0.2	        2010.03.02	   -
AntiVir	     8.2.1.180	2010.03.02	   DR/AutoRun.FL
Antiy-AVL	     2.0.3.7	        2010.03.02	   -
Authentium     5.2.0.5	        2010.03.02	   -
Avast	             4.8.1351.0	2010.03.02	   -
AVG	             9.0.0.730	2010.03.02	   -
BitDefender     7.2	        2010.03.02	   -
CAT-QuickHeal 10.00	        2010.03.02	   -
ClamAV	     0.96.0.0-git	2010.03.02	   -
Comodo	     4091	        2010.02.28	   -
DrWeb	     5.0.1.12222	2010.03.02	   -
eSafe	     7.0.17.0	2010.03.02	   -
eTrust-Vet	     35.2.7335	2010.03.02	   -
F-Prot	     4.5.1.85	2010.03.02	   -
F-Secure	     9.0.15370.0	2010.03.02	   -
Fortinet	     4.0.14.0	2010.02.28	   -
GData	     19	        2010.03.02	   -
Ikarus	     T3.1.1.80.0	2010.03.02	   -
Jiangmin	     13.0.900	2010.03.02	   -
K7AntiVirus     7.10.987	2010.03.02	   Worm.BAT.Autorun.fl
Kaspersky	     7.0.0.125	2010.03.02	   Worm.BAT.Autorun.fl
McAfee	     5908	        2010.03.02	   W32/Autorun.worm!ie
McAfee+Artemis	5908	        2010.03.02	   W32/Autorun.worm!ie
McAfee-GW-Edition 6.8.5	2010.03.02	   Heuristic.LooksLike.Trojan.Dropper.C
Microsoft	     1.5502	        2010.03.02	   -
NOD32	     4910	        2010.03.02	   -
Norman	     6.04.08   	2010.03.02	   -
nProtect	     2009.1.8.0	2010.03.02	   -
Panda	     10.0.2.2	2010.03.02	   -
PCTools	     7.0.3.5	        2010.03.02	   BAT.Compan.B
Prevx	3.0	                        2010.03.02	   -
Rising	     22.37.01.04	2010.03.02	   -
Sophos	     4.50.0	        2010.03.02	   -
Sunbelt	     5729	        2010.03.02	   -
Symantec	    20091.2.0.41	2010.03.02	   -
TheHacker	     6.5.1.7.218	2010.03.02	   W32/VB.axb
TrendMicro    9.120.0.1004 2010.03.02	   PAK_Generic.001
VBA32	     3.12.12.2	2010.03.02	   Worm.BAT.Autorun.fl
ViRobot	  2010.3.2.2208 2010.03.02	           -
VirusBuster     5.0.27.0	2010.03.02	   -

Information additionnelle
File size: 140800 bytes
MD5   : 8ce0c53b274e69a3698bce0ccac2b8ed
SHA1  : adc829c56305dffeefe378383f9f24f807171310
SHA256: e916681c6e5ed505ffc78538ef80b56fb633c8fcb71ce816c66517244e4497ec
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4E100
timedatestamp.....: 0x498D2B24 (Sat Feb 7 07:33:08 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x2C000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x2D000 0x22000 0x21E00 7.99 6d19d9c9709ea0815ed3181b1ba6e277
.rsrc 0x4F000 0x1000 0x600 4.90 da2a2bfdb4040e0d3433f94e61bae9f7

( 7 imports )

> comctl32.dll: InitCommonControls
> gdi32.dll: SetBkColor
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> msvcrt.dll: memset
> ole32.dll: CoInitialize
> shell32.dll: ShellExecuteExA
> user32.dll: IsChild

( 0 exports )
TrID  : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ssdeep: 3072:R7cWbM4KH3TZ9Mb7WKLcJ0GaSiE3hhTpOI7zuXq+USoiKJercqeZxuZurWOout:RFo4Eu7LA0OpFOIP/WohjJiOoS
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (Kaspersky): UPX
packers (F-Prot): UPX_LZMA
RDS   : NSRL Reference Data Set
-

Vos avis?

optoco · Answer

Le rendu n'est pas le même que sur le site virus total, mais j'ai pas réussi à faire mieux. 
Du coup , se n'est pas tellement lisible, mais on devine quand même...

fabul · Answer

Supprime ce fichier,ils sont plusieurs a ètre du mème avis.

http://www.virustotal.com/analisis/e916681c6e5ed505ffc78538ef80b56fb633c8fcb71ce816c66517244e4497ec-1266362188

Et de toute façon,je ne crois pas que tu en ait besoin ou qu'il soit nécessaire pour le bon fonctionnement de Windows.

Traduction Google:http://translate.google.com/...

Oui,quand on lis bien,malveillant. ( En rouge )

Les fichiers qui l'accompagne ne le semble pas.

Et il est toujour dans la base de donnée de Kaspersky 	7.0.0.125 	2010.02.16 	Worm.BAT.Autorun.fl

optoco · Answer

Carrément le supprimer???
C:\Windows\Setup\SCRIPTS\Install.exe
Ok, c'est un fichier qui ne fait que 140Ko, mais je ne voudrais pas avoir à le regretter!!!

Petit détail, lorsque je vais jusqu'au fichier "Install.exe" et que je veux l'ouvrir, il y a une fenêtre qui me demande "voulez vous autoriser le programme suivant à apporter des modifications à cet ordinateur?"; Et je n'ai pas osé lui dire oui, ne connaissant pas les risques que j'encours...

fabul · Answer

Ne l'exécute surtout pas.

Si tu veut le garder comme souvenir,

Utilise Winrar ---> Ajouter a l'archive ---> VIRUS.RAR et supprime l'original.

optoco · Answer

Dans le doute on s'abstient, j'ai drôlement bien fait apparement. 
Tu semble convaincu de l'inutilité de ce fichier.
Donc, si je le supprime, il va se retrouver dans la corbeille. Du coup, si un problème se présente, je serais en mesure de le restaurer et de corriger ainsi le problème; sauf si ce fichier intervient dans le programme de démarrage du PC, auquel cas je serais "marron".
Mon raisonnement est bon?

Néanmoins, n'existerait-il pas un petit logiciel qui irai farfouiller dedans pour en extraire la cause?

fabul · Answer

C'est le fichier Worm.BAT.Autorun.fl de Microsoft Corporation peut ètre?

Regarde les propriétés du fichier,compagnie,version...

Indispensable pour le démarrage ,Certainement pas.

optoco · Answer

Le dossier Setup fait 140Ko et comporte deux sous dossiers: SCRIPTS (140Ko) et State (42octets).
SCRIPTS fait donc 140Ko et comporte 3 dossiers: Install (137Ko), localpacks (3Ko) et Setupcomplete (1Ko)

Dans les propriétés de "Install"on trouve comme infos:

Type de fichier: Application(.exe)
Description: Install
Emplacement: C:\Windows\Setup\SCRIPTS
Poids 137 Ko
Créer le 19/02/2010
Modifier le 14/08/2009 (comment est-ce possible???)
Dernier accés le 19/02/2010

Utilisateur anonyme · Answer

Salut,

peux tu me soumettres le fichier pour analyse ?

1/crypter le fichier :
http://www.aranud.fr/soumettre-un-fichier/

2/soumettre le fichier :
http://www.aranud.fr/soumettre-un-fichier/

ça prend 5 minutes, merci beaucoup.

Utilisateur anonyme · Answer

il est listé virus par a squared, sans doute le nettoierait il
https://www.emsisoft.com/fr/
selon moi si malwarebytes a mis "no action taken" c'est qu'il ne juge pas utile de le supprimer, sinon il t'aurait proposé de redémarrer pour achever la suppression au redémarrage. 
11 sur 44 c'est pas beaucoup surtout avec deux généric et un heuristique autant dire qu'ils ne savent pas trop
Peu de réponses google, selon moi ni un virus bien méchant ni un fichier indispensable, un fichier applicatif peut être mais la question importante étant : 
as tu des signes d'anomalie de fonctionnement sur ton PC ?

Utilisateur anonyme · Answer

et le scan a une semaine...:-)
il me semble que malwarebytes propose la suppression, il demande spybot comme si malwarebytes n'avait pas pu le supprimer, je ne comprends plus trop alors...
D'autant que malwarebytes a une quarantaine, en cas de problème, redémarrage en mode sans echec on restaure et le tour est joué, mais encore une fois très peu de réponses google significatives pour ce fichier ni ce virus, ou tout nouveau ou faux positif surtout s'il n'y a aucune anomalie de fonctionnement

fabul · Answer

Ce qui pourrait ètre fait,c'est ouvrir regedit et taper Ctrl+F (Recherche),coller:Windows\Setup\SCRIPTS\Install.exe

et lancer la recherche,

Ensuite,copier le nom de la clé registre , peut ètre CLSID/( *********-****-****-********* )

Et chercher sur Google a quoi correspond *********-****-****-*********

As-il déja été vu quelque part dans le cas d'une infection...


Aide toi et le ciel t'aidera.

optoco · Answer

Merci pour toutes ces réponses.

Effectivement, Malwarebyte's demande bien si on veut supprimer ou non.
Et à vous lire, je penses que j'ai du faire une erreur d'interprétation lorsque Malwarebyte's m'a posé la question. J'ai dit non en croyant qu'il voulait me supprimer le fichier alors qu'il me demandait en réalité si je voulais supprimer le problème. Si c'est le cas, alors il me faut juste relancer Malwarebyte's et lui dire de supprimer. Quelqu'un pour me le confirmer?

Pour ce qui est du fonctionnement, tout marche bien, ou en tout cas si il y a un dysfonctionnement, je ne l'ai pas encore perçu. Cependant, j'ai eu un petit problème la semaine passé, juste aprés avoir télécharger Mozilla Firefox. Internet s'est mis à cafouiller en m'ouvrant des pages blanche sur lesquelles mes trois navigateurs bloqués. En fouinant, je suis tombé sur une "PDFforge Toolbar" qui me foutait la pagaille. Elle est apparement arrivée jusqu'à mon PC lorsque j'ai téléchargé PDF creator. Cette merde est resté inactive jusqu'au téléchargement de Mozilla, puis mon PC s'est mit a ramer de plus en plus jusqu'à paralyser internet (tout ça sur une demi-journée). Apres désinstallation de cette "toolbar", tout est rentré dans l'ordre. Mais peut-être a-t-elle laissé des traces?

Dorgane, je me penche sur ta demande d'ici quelques minutes (il faut que je couche les filles)...

optoco · Answer

Erreur

optoco · Answer

fabul, 
Je viens d'effectuer la procédure que tu m'as indiqué. Le "hic", c'est qu'il ne semble rien trouver dans le registre. Aprés avoir été en phase de recherche, il ouvre une fenêtre m'indiquant "recherche dans le registre terminée". Là, je n'ai d'autre choix que de cliquer sur Ok, me renvoyant à la page de "regedit" (editeur du registre).
Dommage, l'idée été pourtant intéressante...

Utilisateur anonyme · Answer

lu,

1/ désactive la restauration systeme :
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

2/ démarre en mode sans echec :

registre à supprimer :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe

Registre à modifier :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify  valeur doit être à 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify valeur doit être à 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify valeur doit être à 0

Fichiers à supprimer :
C:\Windows\Setup\SCRIPTS\Install.exe
C:\Windows\7Loader.TAG

3/ redemarre et réactive la restauration.

Fichiers soumis à bitdefender, nod32 et mse...en attente de leur confirmations.

optoco · Answer

Merci Dorgane pour cette procédure.

Cependant, j'ai un nouvel élément qui intervient.

La semaine dernière, j'avais contacté Bit Defender en leur exposant le problème. Ils m'ont demandé de leur envoyer le fichier (install.exe), chose que j'ai fait. Au passage, j'en profite pour saluer leur réactivité et pour l'intérêt qu'ils ont porté à mon problème. Ce matin, j'ai reçu leur réponse:
Bonjour,

Nous vous remercions de l'intérêt que vous portez à nos solutions de protection BitDefender.
    
C'est une fausse positive, les éléments détecté par malwarebyte's est en faite "grub" ou un autre gestionnaire d'amorçage seven/vista/ ou xp linux. 
    
Cordialement.
xxxxx xxxxxx
Analyste Laboratoires BitDefender France / Editions Profil
 
Du coup, je suis rassuré mais reste dubitatif face au rapport de Virus total dans lequel on voit clairement que beaucoup d'antivirus détectent une infection qui n'existerait pas (A-sqared, Antivir, Avast, Kaspersky, Mac Afee et PC tools pour les plus connus), en plus de Malwarebyte's. D'un autre coté, je ne croit pas avoir de raison de remettre en doute les conclusions de Bit Defender (quels intérêts auraient-ils?)

Cela pourrait-il être révélateur d'une certaine forme de manque de pertinence d'antivirus pourtant renommés?
J'avoue pas trés bien comprendre.

Alors, il y a-t-il toujours une raison pour que je supprime ce fichier, dont je ne connait toujours pas l'importance, ni même dans quoi il intervient dans le fonctionnement de mon PC?
A ton avis, est-il réellement préférable de l'éradiquer?

Utilisateur anonyme · Answer

ce n'est pas une fausse alerte comme tu verra ici : https://www.google.fr/search?sourceid=chrome&ie=UTF-8&q=7Loader&gws_rd=ssl  c'est donc un crack pour win 7, alors tu as une version piraté ? :p

cependant, je ne peux pas affirmer s'il à une action dangereuse, mais chose sur, il désactive les notification du centre de sécurité.

En attendant d'avoir des remonté de nod32, connaissant une personne, j'attend son mail.

Utilisateur anonyme · Answer

j'avais vu une page qui supposait un crack mais pas tout ça. :-)
De toute façon le danger importe peu, microsoft va lancer d'après micro hebdo dans les semaines qui viennent une petite MAJ en douce et plus aucun crack seven ne fonctionnera, l'ordi redémarrera toutes les deux heures et il y aura un écran noir en permanence affichant que c'est une version illégale.De plus tous les enregistrements seront perdus au redémarrage, la galère quoi :-))
mais j'ai du mal à croire, déjà poster sur ccm pour un fichier seven suspect si c'est un crack, faut oser, mais envoyer à Bitdefender, faudrait aimer la prison ou quoi LOL

optoco · Answer

Bonjour à tous,

Sur les conseils de passé simple, j'ai télécharger A-squared (super produit au passage!!!) et j'ai lancé un scan. Il me trouvera le même fichier que Malwarebyte's et en plus, un résidu d'une "pdfforge Toolbar" bien merdique qui est arrivé en même temps que pdf creator.
Et comme fabul le proposais dés le début, j'ai carrément viré le fichier incriminé. Il est actuellement sur une clé USB, au cas ou il vienne à me faire défaut (mais ça parait peu probable).
Le PC semble fonctionner correctement, en tout cas pour l'instant...

Merci à tous pour avoir apporté un peu d'eau à mon moulin.

"Faux positif" ou pas?

24 réponses

Discussions similaires

Newsletters