2 trojans trouvés l'un par Antivir et l'autre par Spybot
Le
Philippe Gueguen
Bonjour.
Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.
Il y a quelques temps Antivir Gard(la protection proactive d'antivir)
m'a trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:\downloads\IDPS.exe.
Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute. Comment Gard peut détecter un trojan sur un
fichier qui n'est pas en cours de fonctionnement?
J'ai fait un scan de mon disque dur avec antivir, pas de problème.
Faux positif?
Hier, j'ai copié le fichier csrss.exe de l'emplacement.
c:\windows\system32\ vers c:\temp.
J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan
Win32.FakeAlert.ttam sur c:\temp\csrss.exe.
J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a
trouvé aucun problème.
Là encore un faux positif?
Merci pour votre aide.
Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.
Il y a quelques temps Antivir Gard(la protection proactive d'antivir)
m'a trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:\downloads\IDPS.exe.
Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute. Comment Gard peut détecter un trojan sur un
fichier qui n'est pas en cours de fonctionnement?
J'ai fait un scan de mon disque dur avec antivir, pas de problème.
Faux positif?
Hier, j'ai copié le fichier csrss.exe de l'emplacement.
c:\windows\system32\ vers c:\temp.
J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan
Win32.FakeAlert.ttam sur c:\temp\csrss.exe.
J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a
trouvé aucun problème.
Là encore un faux positif?
Merci pour votre aide.
Poser une question
Oui, bonne action
--
quiche Mahut
http://grincheux.de-charybde-en-scy...1&pb=1
http://www.webgroupes.eu/t-1747-644...-f5pbg.htm
Je pense qu'un simple accès au fichier déclenche 'guard'.
Dans les accès possibles:
- afficher le dossier dans l'explorateur (l'explorateur récupère des
infos qui sont *dans* le fichier, par exemple pour les vidéos/musiques
ou l'explorateur affiche la durée, la résolution,...)
- l'indexage du disque dur (le "service d'indexation" par exemple)
-...
sans doute, ou alors pas le même réglage de sensibilité entre 'guard' et
'scan'
peut-être, mais comme spybot ne joue pas tout à fait dans la même cour,
c'est difficile à juger.
Pour t'aider, tu peux regarder la date du fichier et sa taille et les
comparer avec un windows identique.
Si la taille (particulièrement) n'est pas la même, vérifie avec les
propriétés du fichier si c'est bien la même version.
Si c'est bien la même version, il y a un doute sur le fichier...
Quand tu as un doute, tu peux envoyer le fichier pour 'test' directement
chez avira.
Tu obtiens en général une réponse dans les 24H.
Si c'est un faux positif, la correction est intégrée dans les mises à
jour suivantes d'antivir.
http://analysis.avira.com/samples/index.php
(ou 'onglet 'support', puis 'obtenir une assistance' et enfin 'Envoyer
fichier suspect' en bas à droite)