> Tous les forums > Forum Sécurité
 TR/Agent.fzog dans DVDfabHDDecrypter3 Faux PositifSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
PatrickD
  Posté le 12/01/2011 @ 14:15 
Aller en bas de la page 
Astucien

Bonjour,

Lors du scan hebdomadaire, Avira m'a trouvé, pour la première fois, un .exe infecté, dans un logiciel installé depuis près de 4ans:

C:\Program Files\DVDFab HD Decrypter 3\DVDFabHDDecrypter.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.fzog

Je l'ai mis en quarantaine, puis ai fais faire un scan sur Virus Total, dont voici le rapport qui m'incite à restaurer ce fichier. Mais je préfère attendre un conseil avisé de votre part.

Désolé de la mauvaise mise en page. Seul DrWeb le trouve suspect.

Virus Total

Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
4e0703d4.qua
Submission date:
2011-01-12 13:08:16 (UTC)
Current status:

VT Community

not reviewed
Safety score: -
AntivirusVersionLast UpdateResult AhnLab-V3 2011.01.12.01 2011.01.12 - AntiVir 7.11.1.105 2011.01.12 - Antiy-AVL 2.0.3.7 2011.01.12 - Avast 4.8.1351.0 2011.01.12 - Avast5 5.0.677.0 2011.01.12 - AVG 10.0.0.1190 2011.01.12 - BitDefender 7.2 2011.01.12 - CAT-QuickHeal 11.00 2011.01.12 - ClamAV 0.96.4.0 2011.01.12 - Command 5.2.11.5 2011.01.12 - Comodo 7368 2011.01.12 - DrWeb 5.0.2.03300 2011.01.12 Trojan.Packed.Based Emsisoft 5.1.0.1 2011.01.12 - eSafe 7.0.17.0 2011.01.10 - eTrust-Vet 36.1.8095 2011.01.12 - F-Prot 4.6.2.117 2011.01.11 - F-Secure 9.0.16160.0 2011.01.12 - Fortinet 4.2.254.0 2011.01.10 - GData 21 2011.01.12 - Ikarus T3.1.1.90.0 2011.01.12 - Jiangmin 13.0.900 2011.01.12 - K7AntiVirus 9.75.3510 2011.01.11 - Kaspersky 7.0.0.125 2011.01.12 - McAfee 5.400.0.1158 2011.01.12 - McAfee-GW-Edition 2010.1C 2011.01.12 - Microsoft 1.6402 2011.01.12 - NOD32 5780 2011.01.12 - Norman 6.06.12 2011.01.11 - nProtect 2011-01-12.01 2011.01.12 - Panda 10.0.2.7 2011.01.11 - PCTools 7.0.3.5 2011.01.12 - Prevx 3.0 2011.01.12 - Rising 22.82.02.03 2011.01.12 - Sophos 4.61.0 2011.01.12 - SUPERAntiSpyware 4.40.0.1006 2011.01.12 - Symantec 20101.3.0.103 2011.01.12 - TheHacker 6.7.0.1.113 2011.01.11 - TrendMicro 9.120.0.1004 2011.01.12 - TrendMicro-HouseCall 9.120.0.1004 2011.01.12 - VBA32 3.12.14.2 2011.01.12 - VIPRE 8050 2011.01.12 - ViRobot 2011.1.12.4249 2011.01.12 - VirusBuster 13.6.140.0 2011.01.11 -
Additional information
Show all
MD5 : 60479d56d9f08ab7dfe0473c3ba12717 SHA1 : a66f6bf4bd8776a5e3e297adc4a7b4db10d8573d SHA256: 65f45339c88f9b81a51b430de3ff8673f252e3418a90f37a50da8ced85dd0101


Modifié par PatrickD le 13/01/2011 14:21
Publicité
PatrickD
 Posté le 12/01/2011 à 14:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Re,

Il a été ajouté aujourd'hui au fichier VDF d'Avira:

http://row.avira.com/fr/threats/section/vdfhistory/ivdf_no/7.11.01.96/7.11.01.96.html

Quelle stratégie adopter?

Restaurer ou laisser en quarantaine, mais jusqu'à quand?

pear
 Posté le 12/01/2011 à 14:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Ce n'est pas votre logiciel qui est suspecté mais ce qu'il a chargé, il me semble.

DVDFab HD Decrypter 5.2.5.0 Security Information
DVDFab HD Decrypter support issues and/or software problems are available only from its publisher/developer. Although we constantly scan all the programs within this website, for your improved security, we strongly advise you to check the downloaded files with a strong antivirus and antispyware solution.


Modifié par pear le 12/01/2011 14:36
Morgane
 Posté le 12/01/2011 à 14:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Maîtresse astucienne

Bonjour,

Soumets ton fichier pour analyse chez Avira : http://analysis.avira.com/samples/index.php

Note bien sur cette page...

Fausses alertes :

Si vous soupçonnez que nous détectons par erreur un fichier sain comme logiciel malveillant, nous vous prions de sélectionner « Soupçon de fausse alerte » dans le menu déroulant. Notez que les fichiers suspects et les fausses alertes doivent être chargés séparément. Assurez-vous d’avoir contrôlé avec la version actuelle du produit qu’il ne s’agit pas d’une fausse alerte déjà résolue.

PatrickD
 Posté le 12/01/2011 à 14:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour pear,

Merci de me répondre.

Voici tout ce que j'ai dans Program Files concernant ce logiciel.

Mais ce qui me surprend le plus, c'est qu'il est installé depuis juillet 2007 et que je ne l'ai pas utilisé depuis très longtemps, sans pouvoir dire combien de temps, mais c'est en années.

pear
 Posté le 12/01/2011 à 14:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Vous ne m'avez pas compris.

DVDFabHDDecrypter est un outil probablement ( je n'utilise pas) sain mais il vous aide à télécharger des fichiers qui ne le sont peut-être pas.

D'où le conseil en Anglais et la suggestion de Morgane: Tester ce que vous téléchargez.



Modifié par pear le 12/01/2011 14:59
PatrickD
 Posté le 12/01/2011 à 15:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

pear,

Tout ce que je télécharge est systématiquement analysé par Avira Antivir Premium, même en provenance d'un site d'éditeur.

Je ne comprends alors pas bien ta réponse. Car il n'a jamais été suspecté jusquà ce matin dans tous les scans effectués.

Morgane,

Je viens de soumettre ce fichier à avira. En voici la première réponse:

Comme on me demandait une URL pour pouvoir éventuellement télécharger le logiciel, j'ai hébergé celui-ci sur dl.free où il a été analysé par NOD 32 sans rien de suspect.



Modifié par PatrickD le 12/01/2011 15:16
pear
 Posté le 12/01/2011 à 15:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Le fait qu'Antivir ne l'ait pas suspecté auparavant ne signifie pas q'un fichier est inoffensif mais seulement que les moyens utilisés ne permettent pas de le soupçonner.

Mais , comme vous le savez, les antivirus évoluent et leurs bases de données aussi, et plusieurs fois par jour.

Cela dit,il se peut que ce soit un faux positif.Cela arrive avec la recherche heuristique: un faisceau d'indices mais pas de preuve donc "Garde à vue"

titanus
 Posté le 12/01/2011 à 15:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Probablement un FP mais pourquoi pas analyser un peu plus:MBAM...ZHPDiag.. autre pour avoir plus de certitude

DVDFab HD Decrypter version 8 est un freeware...alors désinstalle(ta version étant antérieureV3) et réinstalle une version saine(si toutefois corrompue)et resoumets à une analyse



Modifié par titanus le 12/01/2011 15:56
Publicité
PatrickD
 Posté le 12/01/2011 à 16:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Re,

Tout à fait d'accord avec tes propos, pear.

titanus,

D'accord avec aussi, car j'ai également la version 4 qui est installée (j'aurais donc du virer la 3) et rien de suspect pour elle. Et de plus, comme tu le dis, nous en sommes à la version 8, ce qui prouve que je ne m'en sers pas très souvent.

Je fais aussi des analyses régulières avec MBAM qui ne m'a jamais rien signalé non plus.

Conclusion: je vais virer la version 3 qui est "suspecte", et je téléchargerai la nouvelle quand il y aura nécessité.

Merci à vous.

J'attends le rapport d'analyse d'avira pour le poster et mettre le sujet résolu.

titanus
 Posté le 12/01/2011 à 16:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

sage décision..mais tu peux aussi virer la V4 et installer la V8 seulement

PatrickD
 Posté le 13/01/2011 à 14:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

à tous,

Avira vient de m'adresser le résultat de l'analyse qui conclut à un faux positif.

Pour ceux qui souhaite en savoir plus, voici leur réponse avec le lien pour visualiser les résultats de l'analyse.

Je vais donc procéder à la suppression du logiciel en question au motif d'ancienneté de version, vider la quarantaine, marquer le sujet résolu et

remercier à nouveau tous ceux qui ont bien voulu me répondre, me conseiller et me lire.

Bonne journée à tous et toutes.

Edit.

J'ai aussi modifié le titre du topic pour une aide plus rapide si d'autres rencontrent le même "problème".

- - - - - - - - - - - - - - - - - - - - - - - - -

Madame, Monsieur,

Nous vous remercions de l’email que vous avez envoyé au laboratoire de virus d’Avira.
Numéro de la tâche : INC00671941.

Nous avons reçu les archives suivantes :

N° du fichier

Nom du fichier

Taille (octets)

Résultat

26020306

4e0703d4.qua

1.24 MB

OK

Les fichiers et les résultats qui étaient contenus dans les archives sont affichés dans une liste à la section suivante :

N° du fichier

Nom du fichier

Taille (octets)

Résultat

26020307

4e0703d4.vir

1.24 MB

FALSE POSITIVE


Vous trouverez les résultats détaillés pour chaque fichier à la section suivante :

Nom du fichier

Résultat

4e0703d4.vir

FALSE POSITIVE


Le fichier ‘4e0703d4.vir’ a été classifié comme ‘FALSE POSITIVE’. Cela signifie que ce fichier n’est pas dangereux et qu’il s’agit d’un message erroné de notre part. Le modèle de détection sera supprimé avec l’une des prochaines mises à jour du fichier de définitions des virus (VDF).

Vous pouvez également visualiser les résultats de l’analyse ici :
http://analysis.avira.com/samples/details.php?uniqueid=YZqOD7JJPdE0FpIpkjOhxVMLC9zQXJnt&incidentid=671941

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
http://analysis.avira.com/samples/details.php?uniqueid=YZqOD7JJPdE0FpIpkjOhxVMLC9zQXJnt

Remarque : veuillez vous adresser à notre assistance : support@avira.com pour poser vos questions spécifiques.

Sincères salutations
Laboratoire de virus Avira



Modifié par PatrickD le 13/01/2011 14:22
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Avira Antivir détecte un virus (faux positif ?) dans AdwCleaner
faux positif FreemakeVideoConverter dans adwcleaner ?
Faux positif dans Windows Defender ?
virus adware agent ou faux positif?
faux positif dans divX :
Antivir et Erunt-TR/Spy.Agent.A.4.A faux positif ?
trojan Agent dans C:Users\nomAppDataLocalTempQuarantine.
Faux Positif Adwcleaner
Faux Positif ou réelle infection ?
Antivirus : un faux positif sème la zizanie
Plus de sujets relatifs à TR/Agent.fzog dans DVDfabHDDecrypter3 Faux Positif
 > Tous les forums > Forum Sécurité