> Tous les forums > Forum Sécurité
 Nouvelle version Zhpdiag faux positifs?Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
lilidurhone
  Posté le 14/12/2012 @ 07:22 
Aller en bas de la page 
Astucienne

Hello au groupe sécurité

Je viens de tester la nouvelle version de ZHPdiag et trouvé des lignes un peu suspectes qui me semblent être des faux positifs

Comme je suis en formation pour devenir helper(certes j'aurais pû ouvrir un sujet là bas ) mais j'ai pris le premier forum où j'étais connectée

En l'analysant avec ZHP(version public) il se trouve qu'il y a 5 lignes considérées comme infectieuses en Worm

[HKLM\Software\Classes\MSSTDFMT.STDDATAFORMAT.1]
[HKLM\Software\Classes\MSSTDFMT.STDDATAFORMATS]
[HKLM\Software\Classes\MSSTDFMT.STDDATAFORMATS.1]
[HKLM\Software\Classes\MSSTDFMT.STDDATAVALUE]
[HKLM\Software\Classes\MSSTDFMT.STDDATAVALUE.1]

---\\ Scan Additionnel (O88)
Database Version : 10038 - (13/12/2012)
Clés trouvées (Keys found) : 5
Valeurs trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 0
Fichiers trouvés (Files found) : 0

[HKLM\Software\Classes\MSSTDFMT.STDDATAFORMAT.1] =>Worm.SDBOT
[HKLM\Software\Classes\MSSTDFMT.STDDATAFORMATS] =>Worm.SDBOT
[HKLM\Software\Classes\MSSTDFMT.STDDATAFORMATS.1] =>Worm.SDBOT
[HKLM\Software\Classes\MSSTDFMT.STDDATAVALUE] =>Worm.SDBOT
[HKLM\Software\Classes\MSSTDFMT.STDDATAVALUE.1] =>Worm.SDBOT

Cijoint le rapport zhpdiag http://cjoint.com/data3/3Log07fe3UY_zhpdiag.txt

Le rapport adwcleaner ne montre rien

# AdwCleaner v2.100 - Rapport créé le 14/12/2012 à 06:55:48
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : aurélie - ACER-4228220248
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\aurélie\Bureau\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v17.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\aurélie\Application Data\Mozilla\Firefox\Profiles\dl0dcumb.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v23.0.1271.97

Fichier : C:\Documents and Settings\aurélie\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Opera v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\aurélie\Application Data\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1253 octets] - [14/12/2012 06:55:48]

########## EOF - C:\AdwCleaner[R1].txt - [1313 octets] ##########

Le rapport malwarebytes arrive pour l'instant aucun élément détecté

Malwarebytes Anti-Malware (PRO) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.13.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
aurélie
ACER-4228220248 [administrateur]

Protection: Activé

14/12/2012 06:58:39
mbam-log-2012-12-14 (06-58-39).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 237136
Temps écoulé: 22 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Dois je en conclure que c'est bel et bien un faux positif de zhpdiag

Je serais disponible ce matin

Bonne journée

Publicité
dalton2
 Posté le 14/12/2012 à 08:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

lili,

FP bien sûr apparus aprés la maj des tables du 13/12 à 22h40.53

Ceci dit ,tu as la toolbar Ask qui apparait en superflu et que tu peux fixer par ZHP Fix

.....et une mémoire RAM qui faiblit(17% free)



Modifié par dalton2 le 14/12/2012 09:09
lilidurhone
 Posté le 14/12/2012 à 09:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

merci dalton ask a été fixé il y a deux jours je le ferais tout à l'heure

Je m'y collerai tout à l'heure car là suis au travail



Modifié par lilidurhone le 14/12/2012 10:23
lilidurhone
 Posté le 14/12/2012 à 23:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Hello

Juste pour donner des nouvelles concernant ask

Le coupable a été trouvé c'est format factory du moins l'installateur

J'ai fait un scan en ligne avec eset(mais stoppé)et il a détecté l'installateur de format factory

Un grand merci à toi Dalton et aussi à Australien {#}

Demain je continue mes recherches et faire aussi un scan sur mon autre ordinateur

lilidurhone
 Posté le 15/12/2012 à 10:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Hello

Bon voilà Ask a été viré je mets la solution qui a marché pour moi(merci à heracles)

La deuxième solution est plus complexe et dangereuse en cas de fausse
manoeuvre car il faut intervenir directement dans les paramètres de firefox
( faire attention ,mais si tu est décidée à la faire suivre les
instructions suivantes ) :



* Dans la barre d' adresse de firefox , tape ceci about:config
* Dans la page qui s' afficheras ,clique sur le bouton "je ferais
attention promis "
* Dans la fenêtre suivante ,inscris le mot ask dans la zône de recherche
* Une fenêtre résumant tes recherches apparait , faire un clic droit sur
chacune des entrées ask trouvé sur la colonne "valeur " (cela peut être une
url ou le seul nom de Ask ) et cliquer sur "réinitialiser" .
Nota :La fonction réinitialiser est opérationnelle sur les entrées définies
par l' utilisteur et non sur les entrées définies par défaut
Nota :cette action permettras la remise à zéro à la valeur par défaut.
* Pour finaliser , ferme firefox et relance le

capoucci
 Posté le 15/12/2012 à 10:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Juste pour info, comme ça. MSSTDFMT.STDDATAFORMAT se décompose en:

  • MSSTDFMT est une DLL Visual Basic 6.0
  • STDDATAFORMAT est un Objet Visual Basic 6 qui à migré vers Visual.Net probablement avec VB Migration Partner

http://www.vbmigration.com/detknowledgebase.aspx?id=115

En gros cela signifie, qu'une de vos application (je suis un peu fainéant ce matin, je n'ai pas cherché laquelle) codée a base de Visual Basic utilise cet ensemble Objet pour fonctionner. Il n'y a rien d'alarmant la dedans. On peut raisonnablement estimer que c'est bien un faux positif.

Les logiciel de sécurité comme les antivirus, ou certaines fonctions de Windows, considèrent à priori les scripts.VBS ou les applications Visual Basic comme étant forcément dangereux, cela est du à une époque déjà lointaine ou effectivement certain virus etaient codés en VBS.

Cordialement.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
182,21 €Ecouteurs intra sans-fil Sony WF-1000XM4 à réduction de bruit active à 182,21 € livrés
249 € -27%

Amazon Espagne fait une belle promotion sur les écouteurs intra-auriculaire sans-fil Sony WF-1000XM4 avec réduction de bruit active qui passent à 177,52 € (avec la TVA ajustée). Comptez 4,69 € pour la livraison en France soit un total de alors 182,21 € livrés qu'on les trouve ailleurs à plus de 249 €.

Les écouteurs sans fil WF-1000XM4 associent le système à réduction de bruit le plus avancé avec une qualité audio exceptionnelle, une grande autonomie et plusieurs fonctions intelligentes pour une expérience audio inégalée. Le nouveau processeur V1, spécialement développé par Sony, vous propose une réduction de bruit inégalée. La personnalisation sur 20 niveaux et le mode Ambient Sound vous permettent de rester à l'écoute des sons essentiels. Plus de réglages intelligents grâce à l'application Sony / Headphones Connect. Avec leur grande autonomie de 24h au total (écouteurs + boîtier de charge compatible charge à induction), ces écouteurs vous accompagnent tout le temps et partout grâce également à leur protection IPX4 contre la pluie et la sueur. 

Enfin, l'intégration des assistants vocaux, le mode Speak to Chat pour mettre en pause automatiquement votre musique lorsque que vous parlez et la technologie Precise Voice Pickup pour des appels mains libres clairs et précis, vous faciliteront le quotidien.


Voir l'offre
189,99 €Ecran 27 pouces Acer Nitro RG271Pbiipx (FHD, IPS, 165 Hz, 1ms) à 189,99 €
249,99 € -24%

Cdiscount fait une belle promotion sur l'écran 27 pouces Acer Nitro RG271Pbiipx (Full HD 1920x1080, IPS, 1ms, 165 Hz) à 189,99 € au lieu de 249,99 €. L'écran est Adaptive Sync et compatible Freesync et GSync.


Voir l'offre
1,70 €Rallonge USB 2.0 3 mètres à 1,70 €
4 € -58%

Amazon fait une promotion sur la rallonge USB 2.0 d'une longueur 3 mètres qui passe à 1,70 € au lieu de 4 €. D'autres longueurs sont également en promotion : 1 mètre à 1,20 €, 2 mètres à 0,98 € et 5 mètres à 2,70 €


Voir l'offre
209,99 €Babyfoot René Pierre style café à 209,99 €
259,99 € -19%

Darty fait une promotion sur le babyfoot Rene Pierre style café à 209,99 € au lieu de 259,99 €. Livraison gratuite.


Voir l'offre

Sujets relatifs
Nouvelle version adwcleaner faux positifs?
Faux-positifs de SpyBot et Nouvelle Version 1.4RC
ZHPDiag : nouvelle version
Faux positifs Lasaoren dans ZHPDiag
PestPatrol /faux-positifs /version beta ou... ?
Nouvelle version Avast.
essai new version ZHPDiag - infection signalée
Nouvelle version Aide au diagnostic d'un pc infecté
Nouvelle version Avast 2015.10.2.2215
MBAM 2.1.4.1018 Nouvelle version
Plus de sujets relatifs à Nouvelle version Zhpdiag faux positifs?
 > Tous les forums > Forum Sécurité