Antivir me détecte un cheval de troie (suite)

Le
Philippe Gueguen
Bonjour
Ce message fait suite à celui du 06 08 2011.

Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.

Il y a quelques temps Antivir Gard(la protection proactive d'antivir)
m'a trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:downloadsIDPS.exe.
Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute.

Je l'ai envoyé à http://www.virustotal.com.
J'ai comme résultat:(9 résultats positifs sur 43 antivirus)

Antivirus Version Last Update Result

AntiVir 7.11.13.37 2011.08.12 TR/Agent.adh.657

Avast5 5.0.677.0 2011.08.12 Win32:Relevant-P [PUP]

Emsisoft 5.1.0.8 2011.08.13 Gen.AdWare.Heur!IK

eSafe 7.0.17.0 2011.08.10 Win32.TRAgent.Adh

Ikarus T3.1.1.107.0 2011.08.13 Gen.AdWare.Heur

K7AntiVirus 9.109.5010 2011.08.12 Adware

NOD32 6373 2011.08.13 Win32/Adware.MarketScore.A

PCTools 8.0.0.5 2011.08.13 Heuristic.ADH

Symantec 20111.2.0.82 2011.08.13 Heuristic.ADH

Pourquoi y a t il autant de virus au nom différent?

Dois je m’inquiéter?

Merci pour votre aide.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
houba
Le #23652791
Bonjour ° Bonsoir, le Sun, 14 Aug 2011 10:21:06 +0200, Philippe
Gueguen

Bonjour


salut,

Ce message fait suite à celui du 06 08 2011.
Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.

Il y a quelques temps Antivir Gard(la protection proactive d'antivir)
m'a trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:downloadsIDPS.exe.


http://www.avira.ro/en/threats/section/search/index.html?q=TR%2FAgent.adh.657&image2.x=7&image2.y=5
'TR/Agent.adh.657' = inconnu
En remontant d'un cran, plus générique...
'TR/Agent.adh' = inconnu
Pourtant ca se bouscule ...
http://www.avira.ro/en/threats/section/search/index.html?q=TR%2FAgent&image2.x=0&image2.y=0
... avec seulement: 'TR/Agent'

.adh me fait penser, p'être à tort, a (advertising=pub) et h
(heuristic).
AMHA tout ce qui est 'heuristic' est plus qu' [aléatoire], cela peut
être vrai tout comme cela peut être faux.
Mais dans le cas présent pour Avira je pense que c'est du c'est
pipeau.


Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute.


Si tu télécharges des trucs dont tu ne sais plus à quoi cela pourrait
servir alors ce n'est pas d'une importance capitale... ;)


Je l'ai envoyé à http://www.virustotal.com.
J'ai comme résultat:(9 résultats positifs sur 43 antivirus)

Antivirus Version Last Update Result

AntiVir 7.11.13.37 2011.08.12 TR/Agent.adh.657


inconnu dans la base Avira (cf. ci-dessus)...


Avast5 5.0.677.0 2011.08.12 Win32:Relevant-P [PUP]

Emsisoft 5.1.0.8 2011.08.13 Gen.AdWare.Heur!IK

eSafe 7.0.17.0 2011.08.10 Win32.TRAgent.Adh

Ikarus T3.1.1.107.0 2011.08.13 Gen.AdWare.Heur

K7AntiVirus 9.109.5010 2011.08.12 Adware

NOD32 6373 2011.08.13 Win32/Adware.MarketScore.A

PCTools 8.0.0.5 2011.08.13 Heuristic.ADH


inconnu dans la base PCTools
http://www.pctools.com/mrc/infections/query/Heuristic.ADH/


Symantec 20111.2.0.82 2011.08.13 Heuristic.ADH

Pourquoi y a t il autant de virus au nom différent?


Je crois qu'il n'y a pas de normalité dans l'appellation des
variantes, de plus la puissance de nuisance est variable dans la même
catégorie, et enfin cela pourrait engendrer une suspicion de copiage ?


Dois je m’inquiéter?


Ce que détecte NoD32 pourrait être inquiétant mais comme il fut un
temps il s'est laissé sodomiser par 2 'baggle' de variantes
différentes (pourtant très connus à l'époque) coup/coup en l'espace de
20 jours sur mon pc...

Mais comme tu ne sais pas à quoi 'IDPS.exe'pourrait servir au temps le
poubellisé et arrêter de te torturer l'esprit ? ;)


Merci pour votre aide.


Pad' koa, koa.
Mais attends les contributions des vrais spécialistes de ce grp pour
tirer tes propres conclusions.

--
VaN.
Az Sam
Le #23652991
"Philippe Gueguen" news:4e478554$0$16914$

Bonjour
Ce message fait suite à celui du 06 08 2011.

Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.

Il y a quelques temps Antivir Gard(la protection proactive d'antivir) m'a
trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:downloadsIDPS.exe.
Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute.




tu l'avais deja ecris le 06/08 dernier, tu pouvais continuer le meme fil...



Je l'ai envoyé à http://www.virustotal.com.
J'ai comme résultat:(9 résultats positifs sur 43 antivirus)

Dois je m’inquiéter?




qu'est ce qui ne te semble pas clair dans le message que te retourne
virustotal ?

Ne s'agirait il pas de IDPhotoStudio ?
http://www.google.fr/search?hl=fr&source=hp&q=IDPS.exe

Editeur : http://www.kcsoftwares.com/index.php?idps

Je possède les versions 2.1.1.10, 2.3.0.13 et 2.7.4.24, sans avoir de
détection sur ceux ci.
La dernière version en ligne 2.7.5.25 donne ce résultat :

Exe http://www.virustotal.com/file-scan/report.html?id—c734dc542581ad57e4e9733f52f1b123e101f321b5f680b46a40e5cae78414-1313322032
donc une toolbar , un logiciel potentiellement indésirable.

Zip http://www.virustotal.com/file-scan/report.html?id£15caa41b9680afff0b0b203c5c9f5670b7c044b50ec99c5f3b956442f18959-1313322443

Il faut dire son poids a double entre la version Exe et la Zip

Si c'est bien cela, ton fichier provient il de l'éditeur ?

--
Cordialement,
Az Sam.
Philippe Gueguen
Le #23654541
Merci Az Sam pour ta réponse.


tu l'avais deja ecris le 06/08 dernier, tu pouvais continuer le meme fil...



Désolé, mais j'avais peur de ne pas avoir de réponse.

qu'est ce qui ne te semble pas clair dans le message que te retourne
virustotal ?


Ce qui m'étonne c'est qu'il y a 9 résultats différents.

Ce que je ne comprends pas surtout c'est comment Gard peut détecter un
trojan sur un fichier qui n'est pas en cours de fonctionnement?
On m'a dit qu'un simple accés au fichier peut qu'un simple accès au
fichier déclenche 'guard'. Mais je suis septique!


Ne s'agirait il pas de IDPhotoStudio ?
http://www.google.fr/search?hl=fr&source=hp&q=IDPS.exe

Editeur : http://www.kcsoftwares.com/index.php?idps


Oui, il s'agit bien de IDPhotoStudio.

Si c'est bien cela, ton fichier provient il de l'éditeur ?


Oui
Philippe Gueguen
Le #23654531
Merci houba pour ta réponse

Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute.


Si tu télécharges des trucs dont tu ne sais plus à quoi cela pourrait
servir alors ce n'est pas d'une importance capitale... ;)



Il s'agit en fait de IDPhotoStudio.


Mais comme tu ne sais pas à quoi 'IDPS.exe'pourrait servir au temps le
poubellisé et arrêter de te torturer l'esprit ? ;)



En effet. Je suis un peu numériquement paranoïaque. Je n'aime pas trop
quand mon antivirus me trouve un malware!
Philippe Gueguen
Le #23654561
Ce que je ne comprends pas surtout c'est comment Gard peut détecter un
trojan sur un fichier qui n'est pas en cours de fonctionnement?
On m'a dit qu'un simple accés au fichier peut qu'un simple accès au
fichier déclenche 'guard'. Mais je suis septique!



Je précise mon interrogation:
Tout d'abords, il me semble que Gard fait une détection comportementale
et donc ne scanne pas les fichiers.
Dans ces conditions comment Gard pourrait détecter un virus sur un
fichier sans le scanner?
Az Sam
Le #23654631
"Philippe Gueguen" news:4e48d38a$0$15140$


Ce que je ne comprends pas surtout c'est comment Gard peut détecter un
trojan sur un fichier qui n'est pas en cours de fonctionnement?
On m'a dit qu'un simple accés au fichier peut qu'un simple accès au
fichier déclenche 'guard'. Mais je suis septique!



Par defaut le guard scanne les fichier a la lecture et a l'ecriture. Le
simple fait d'aficher le fichier dans l'explorateur engendre un controle de
l'AV, c'ets une lecture. C'ets le principe de base de AV residents.
Ne pas confondre lecture et execution.

Ce comportement se regle dans les parametres/guard/Mode de recherche. Il ne
peut pas etre désactiver sauf a descativer la protection totalement (et
heureusement !)


Oui, il s'agit bien de IDPhotoStudio.

Si c'est bien cela, ton fichier provient il de l'éditeur ?


Oui




étonnant car comme je le disais , mes versions ne provoquent rien, la
version actuellement en ligne chez l'éditeur donnent les résultats virus
total publiés dans mon message précédent.
Jette celui ci, prend les nouveaux, et vérifie par toi même. La conclusion
vient d'elle même : utiliser le Zip préférentiellement.

--
Cordialement,
Az Sam.
Philippe Gueguen
Le #23655371
Par defaut le guard scanne les fichier a la lecture et a l'ecriture. Le
simple fait d'aficher le fichier dans l'explorateur engendre un controle
de l'AV, c'ets une lecture. C'ets le principe de base de AV residents.
Ne pas confondre lecture et execution.



Question: Si Gard scanne les fichiers quand on les "lis", cela devrait
ralentir pas mal le système?
Par exemple si avec l'explorateur Windows je vais dans un répertoire de
plusieurs fichiers!
Az Sam
Le #23655971
"Philippe Gueguen" news:4e493281$0$29561$


Question: Si Gard scanne les fichiers quand on les "lis", cela devrait
ralentir pas mal le système?
Par exemple si avec l'explorateur Windows je vais dans un répertoire de
plusieurs fichiers!





ben oui.
C'est le cout de tout AV résident et ca peut être encore pire avec les
NAC/NAP ou IDS/(H)IPS qui scrutent les échanges réseau ou les protections de
registre qui valident en permanence les ruches ou encore les contrôleurs
d'intégrité qui créent, enregistrent puis vérifient sans cesse l'empreinte
(MD5 ou autre) des fichiers.
C'est pour cela que les "suites de sécurité", qui intègrent des ensembles
d'outils de ce type, plombent la machine sur laquelle ils sont actifs.

Tu trouvera des lectures passionnantes sur le net si tu cherche un peu
http://www.authsecu.com/virus-vers-chevaux-de-troie-hoax/virus-vers-chevaux-de-troie-hoax.php#Introduction_aux_antivirus

--
Cordialement,
Az Sam.
Philippe Gueguen
Le #23657081
Merci Az Sam pour tes précisions!
Publicité
Poster une réponse
Anonyme