2 trojans trouvés l'un par Antivir et l'autre par Spybot

Le
Philippe Gueguen
Bonjour.

Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.

Il y a quelques temps Antivir Gard(la protection proactive d'antivir)
m'a trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:downloadsIDPS.exe.
Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute. Comment Gard peut détecter un trojan sur un
fichier qui n'est pas en cours de fonctionnement?
J'ai fait un scan de mon disque dur avec antivir, pas de problème.
Faux positif?

Hier, j'ai copié le fichier csrss.exe de l'emplacement.
c:windowssystem32 vers c:temp.
J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan
Win32.FakeAlert.ttam sur c:tempcsrss.exe.
J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a
trouvé aucun problème.
Là encore un faux positif?

Merci pour votre aide.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
quiche mahut
Le #23633341
Le 06/08/2011, Philippe Gueguen a supposé :
Bonjour.


Hier, j'ai copié le fichier csrss.exe de l'emplacement. c:windowssystem32
vers c:temp.
J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan
Win32.FakeAlert.ttam sur c:tempcsrss.exe.
J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a trouvé
aucun problème.
Là encore un faux positif?



Oui, bonne action

--
quiche Mahut
http://grincheux.de-charybde-en-scylla.fr/?p12&more=1&c=1&tb=1&pb=1
http://www.webgroupes.eu/t-1747-644997/la-qsl-de-f5pbg.htm
Th.A.C
Le #23639581
Le 06/08/2011 09:57, Philippe Gueguen a écrit :
Comment Gard peut détecter un trojan sur un
fichier qui n'est pas en cours de fonctionnement?



Je pense qu'un simple accès au fichier déclenche 'guard'.
Dans les accès possibles:
- afficher le dossier dans l'explorateur (l'explorateur récupère des
infos qui sont *dans* le fichier, par exemple pour les vidéos/musiques
ou l'explorateur affiche la durée, la résolution,...)
- l'indexage du disque dur (le "service d'indexation" par exemple)
-...


J'ai fait un scan de mon disque dur avec antivir, pas de problème.
Faux positif?



sans doute, ou alors pas le même réglage de sensibilité entre 'guard' et
'scan'

Hier, j'ai copié le fichier csrss.exe de l'emplacement.
c:windowssystem32 vers c:temp.
J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan
Win32.FakeAlert.ttam sur c:tempcsrss.exe.
J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a
trouvé aucun problème.
Là encore un faux positif?



peut-être, mais comme spybot ne joue pas tout à fait dans la même cour,
c'est difficile à juger.

Pour t'aider, tu peux regarder la date du fichier et sa taille et les
comparer avec un windows identique.
Si la taille (particulièrement) n'est pas la même, vérifie avec les
propriétés du fichier si c'est bien la même version.
Si c'est bien la même version, il y a un doute sur le fichier...


Merci pour votre aide.




Quand tu as un doute, tu peux envoyer le fichier pour 'test' directement
chez avira.
Tu obtiens en général une réponse dans les 24H.
Si c'est un faux positif, la correction est intégrée dans les mises à
jour suivantes d'antivir.
http://analysis.avira.com/samples/index.php

(ou 'onglet 'support', puis 'obtenir une assistance' et enfin 'Envoyer
fichier suspect' en bas à droite)
Philippe Gueguen
Le #23640261
Merci Th.a.C pour ta réponse pertinente!
Publicité
Poster une réponse
Anonyme