Bonjour à tous. Je ne sais pas comment j'ai chopé cette saleté mais dès
l'insertion d'une clé USB, un fichier autorun.inf se met dessus
immédiatement. J'ai Avira antivir Personnal qui le détecte et le supprime de
la clé, mais il s'y remet aussitôt et ce jeu de suppression et de réécriture
se poursuit de manière interminable. Retrait sécurisé de la clé impossible
dans ce cas. Je dois faire un retrait forcé! J'ai scanné tout le système
avec Avira (mis à jour!) à la recherche de l'intrus, sans succès. J'ai
également passé AVG free 8.5.375 (mis à jour!) sans succès. Que me reste-til
donc à faire?
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila
eh oui , à chaque fois que je voulais le lire!
C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible, trop parfois...
JJV
Salut JJV Je dirais limite faux positif : - c'est vrai que le texte en lui-même n'est pas malicieux. - mais c'est la signature d'un maliciel quand les executables qu'il appelle sont présents.
Un petit excès de zèle vaut mieux que la cécité. Il faut simplement éviter la multiplicité de ces excès Sinon l'utilisateur ne croit plus au loup
Herser
Coucou à toutes et à tous wrote:
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila
eh oui , à chaque fois que je voulais le lire!
C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible,
trop parfois...
JJV
Salut JJV
Je dirais limite faux positif :
- c'est vrai que le texte en lui-même n'est pas malicieux.
- mais c'est la signature d'un maliciel quand les executables qu'il appelle
sont présents.
Un petit excès de zèle vaut mieux que la cécité.
Il faut simplement éviter la multiplicité de ces excès
Sinon l'utilisateur ne croit plus au loup
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila
eh oui , à chaque fois que je voulais le lire!
C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible, trop parfois...
JJV
Salut JJV Je dirais limite faux positif : - c'est vrai que le texte en lui-même n'est pas malicieux. - mais c'est la signature d'un maliciel quand les executables qu'il appelle sont présents.
Un petit excès de zèle vaut mieux que la cécité. Il faut simplement éviter la multiplicité de ces excès Sinon l'utilisateur ne croit plus au loup
Herser
Azo4
euh , là faut m'expliquer Jean-Jacques...
-- Serge CENCI MVP MS Windows Desktop Experience https://mvp.support.microsoft.com/profile/Serge.Cenci http://www.communautes-numeriques.net/
"Coucou à toutes et à tous" a écrit dans le message de news:%23Q7agLZ$
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila
eh oui , à chaque fois que je voulais le lire!
C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible, trop parfois...
JJV
euh , là faut m'expliquer Jean-Jacques...
--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/
sergioENLEVERfrance@orange.fr
"Coucou à toutes et à tous" <pas_email@pas_serveur.com> a écrit dans le
message de news:%23Q7agLZ$JHA.1336@TK2MSFTNGP05.phx.gbl...
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila
eh oui , à chaque fois que je voulais le lire!
C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible, trop
parfois...
-- Serge CENCI MVP MS Windows Desktop Experience https://mvp.support.microsoft.com/profile/Serge.Cenci http://www.communautes-numeriques.net/
"Coucou à toutes et à tous" a écrit dans le message de news:%23Q7agLZ$
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila
eh oui , à chaque fois que je voulais le lire!
C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible, trop parfois...
JJV
Coucou à toutes et à tous
>euh , là faut m'expliquer Jean-Jacques...
Euh ? :-)
Bien que je ne sois pas spécialiste des antivirus, je peux essayer d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection. Le plus classique, ils vont chercher des modèles dans une bibliothèque, ils repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique". http://fr.wikipedia.org/wiki/Heuristique L'antivirus se base sur un algorithme pour déterminer s'il s'agit d'un virus ou pas. Suivant la puissance de cet algorithme et sa justesse de calcul, la détection est plus moins efficace. Il arrive parfois qu'une détection soit erronée ; on appelle ça un "faux-positif". L'avantage de ce mode de détection est que l'antivirus peut détecter un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi que les virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
JJV
>euh , là faut m'expliquer Jean-Jacques...
Euh ? :-)
Bien que je ne sois pas spécialiste des antivirus, je peux essayer
d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection.
Le plus classique, ils vont chercher des modèles dans une bibliothèque, ils
repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique".
http://fr.wikipedia.org/wiki/Heuristique
L'antivirus se base sur un algorithme pour déterminer s'il s'agit d'un virus
ou pas. Suivant la puissance de cet algorithme et sa justesse de calcul, la
détection est plus moins efficace. Il arrive parfois qu'une détection soit
erronée ; on appelle ça un "faux-positif".
L'avantage de ce mode de détection est que l'antivirus peut détecter un
virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi que les
virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
Bien que je ne sois pas spécialiste des antivirus, je peux essayer d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection. Le plus classique, ils vont chercher des modèles dans une bibliothèque, ils repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique". http://fr.wikipedia.org/wiki/Heuristique L'antivirus se base sur un algorithme pour déterminer s'il s'agit d'un virus ou pas. Suivant la puissance de cet algorithme et sa justesse de calcul, la détection est plus moins efficace. Il arrive parfois qu'une détection soit erronée ; on appelle ça un "faux-positif". L'avantage de ce mode de détection est que l'antivirus peut détecter un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi que les virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
JJV
Herser
Coucou à toutes et à tous wrote:
euh , là faut m'expliquer Jean-Jacques...
Euh ? :-)
Bien que je ne sois pas spécialiste des antivirus, je peux essayer d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection. Le plus classique, ils vont chercher des modèles dans une bibliothèque, ils repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique". http://fr.wikipedia.org/wiki/Heuristique L'antivirus se base sur un algorithme pour déterminer s'il s'agit d'un virus ou pas. Suivant la puissance de cet algorithme et sa justesse de calcul, la détection est plus moins efficace. Il arrive parfois qu'une détection soit erronée ; on appelle ça un "faux-positif". L'avantage de ce mode de détection est que l'antivirus peut détecter un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi que les virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
JJV
Re ! AMHA, c'est toutafé juste, pour les FP. Mais toujours AMHA, ce n'est pas vraiment la question de Serge Ce que je comprends : Léila a attrapé un *vrai* virus "Autoit" qui inocule autorun.inf sur ses clés. Avira le détecte mais ne l'éradique pas. MBAM par contre l'a supprimé Léila a pu lire l'autorun.inf et nous a donné le "texte" contenu dans cet autorun. Ce texte seul dans un message ici n'est pas dangereux. Ce qui est dangereux c'est ce que l'autorun va ouvrir par ce "texte". Donc l'executable qu'il lance et qui doit accompagner le virus.
Or NOD32 réagit préventivement au texte qu'il ne permet pas d'ouvrir.
C'est aussi pour ça que Serge ne peut pas tout suivre il ne voit pas le texte Qui est en fait tout simple :
open=l'exécutable du virus shellOuvrircommand=l'exécutable du virus shell=Ouvrir
Ce n'est pas vraiment un FP, puisque c'est la signature de "Autoit" Mais ce n'est pas le virus complet
Herser
Coucou à toutes et à tous wrote:
euh , là faut m'expliquer Jean-Jacques...
Euh ? :-)
Bien que je ne sois pas spécialiste des antivirus, je peux essayer
d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection.
Le plus classique, ils vont chercher des modèles dans une
bibliothèque, ils repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique".
http://fr.wikipedia.org/wiki/Heuristique
L'antivirus se base sur un algorithme pour déterminer s'il s'agit
d'un virus ou pas. Suivant la puissance de cet algorithme et sa
justesse de calcul, la détection est plus moins efficace. Il arrive
parfois qu'une détection soit erronée ; on appelle ça un
"faux-positif". L'avantage de ce mode de détection est que l'antivirus
peut détecter
un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi
que les virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
JJV
Re !
AMHA, c'est toutafé juste, pour les FP.
Mais toujours AMHA, ce n'est pas vraiment la question de Serge
Ce que je comprends :
Léila a attrapé un *vrai* virus "Autoit" qui inocule autorun.inf sur ses
clés.
Avira le détecte mais ne l'éradique pas.
MBAM par contre l'a supprimé
Léila a pu lire l'autorun.inf et nous a donné le "texte" contenu dans cet
autorun.
Ce texte seul dans un message ici n'est pas dangereux.
Ce qui est dangereux c'est ce que l'autorun va ouvrir par ce "texte".
Donc l'executable qu'il lance et qui doit accompagner le virus.
Or NOD32 réagit préventivement au texte qu'il ne permet pas d'ouvrir.
C'est aussi pour ça que Serge ne peut pas tout suivre il ne voit pas le
texte
Qui est en fait tout simple :
open=l'exécutable du virus
shellOuvrircommand=l'exécutable du virus
shell=Ouvrir
Ce n'est pas vraiment un FP, puisque c'est la signature de "Autoit"
Mais ce n'est pas le virus complet
Bien que je ne sois pas spécialiste des antivirus, je peux essayer d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection. Le plus classique, ils vont chercher des modèles dans une bibliothèque, ils repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique". http://fr.wikipedia.org/wiki/Heuristique L'antivirus se base sur un algorithme pour déterminer s'il s'agit d'un virus ou pas. Suivant la puissance de cet algorithme et sa justesse de calcul, la détection est plus moins efficace. Il arrive parfois qu'une détection soit erronée ; on appelle ça un "faux-positif". L'avantage de ce mode de détection est que l'antivirus peut détecter un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi que les virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
JJV
Re ! AMHA, c'est toutafé juste, pour les FP. Mais toujours AMHA, ce n'est pas vraiment la question de Serge Ce que je comprends : Léila a attrapé un *vrai* virus "Autoit" qui inocule autorun.inf sur ses clés. Avira le détecte mais ne l'éradique pas. MBAM par contre l'a supprimé Léila a pu lire l'autorun.inf et nous a donné le "texte" contenu dans cet autorun. Ce texte seul dans un message ici n'est pas dangereux. Ce qui est dangereux c'est ce que l'autorun va ouvrir par ce "texte". Donc l'executable qu'il lance et qui doit accompagner le virus.
Or NOD32 réagit préventivement au texte qu'il ne permet pas d'ouvrir.
C'est aussi pour ça que Serge ne peut pas tout suivre il ne voit pas le texte Qui est en fait tout simple :
open=l'exécutable du virus shellOuvrircommand=l'exécutable du virus shell=Ouvrir
Ce n'est pas vraiment un FP, puisque c'est la signature de "Autoit" Mais ce n'est pas le virus complet
-- Serge CENCI MVP MS Windows Desktop Experience https://mvp.support.microsoft.com/profile/Serge.Cenci http://www.communautes-numeriques.net/
"Herser" a écrit dans le message de news:%23aUF0bi$
Coucou à toutes et à tous wrote:
euh , là faut m'expliquer Jean-Jacques...
Euh ? :-)
Bien que je ne sois pas spécialiste des antivirus, je peux essayer d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection. Le plus classique, ils vont chercher des modèles dans une bibliothèque, ils repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique". http://fr.wikipedia.org/wiki/Heuristique L'antivirus se base sur un algorithme pour déterminer s'il s'agit d'un virus ou pas. Suivant la puissance de cet algorithme et sa justesse de calcul, la détection est plus moins efficace. Il arrive parfois qu'une détection soit erronée ; on appelle ça un "faux-positif". L'avantage de ce mode de détection est que l'antivirus peut détecter un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi que les virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
JJV
Re ! AMHA, c'est toutafé juste, pour les FP. Mais toujours AMHA, ce n'est pas vraiment la question de Serge Ce que je comprends : Léila a attrapé un *vrai* virus "Autoit" qui inocule autorun.inf sur ses clés. Avira le détecte mais ne l'éradique pas. MBAM par contre l'a supprimé Léila a pu lire l'autorun.inf et nous a donné le "texte" contenu dans cet autorun. Ce texte seul dans un message ici n'est pas dangereux. Ce qui est dangereux c'est ce que l'autorun va ouvrir par ce "texte". Donc l'executable qu'il lance et qui doit accompagner le virus.
Or NOD32 réagit préventivement au texte qu'il ne permet pas d'ouvrir.
C'est aussi pour ça que Serge ne peut pas tout suivre il ne voit pas le texte Qui est en fait tout simple :
open=l'exécutable du virus shellOuvrircommand=l'exécutable du virus shell=Ouvrir
Ce n'est pas vraiment un FP, puisque c'est la signature de "Autoit" Mais ce n'est pas le virus complet
Herser
Yeeees!
je ne mourrai pas idiot!
merci à vous deux!
--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/
sergioENLEVERfrance@orange.fr
"Herser" <Herser@nospam.org> a écrit dans le message de
news:%23aUF0bi$JHA.528@TK2MSFTNGP03.phx.gbl...
Coucou à toutes et à tous wrote:
euh , là faut m'expliquer Jean-Jacques...
Euh ? :-)
Bien que je ne sois pas spécialiste des antivirus, je peux essayer
d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection.
Le plus classique, ils vont chercher des modèles dans une
bibliothèque, ils repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique".
http://fr.wikipedia.org/wiki/Heuristique
L'antivirus se base sur un algorithme pour déterminer s'il s'agit
d'un virus ou pas. Suivant la puissance de cet algorithme et sa
justesse de calcul, la détection est plus moins efficace. Il arrive
parfois qu'une détection soit erronée ; on appelle ça un
"faux-positif". L'avantage de ce mode de détection est que l'antivirus
peut détecter
un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi
que les virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
JJV
Re !
AMHA, c'est toutafé juste, pour les FP.
Mais toujours AMHA, ce n'est pas vraiment la question de Serge
Ce que je comprends :
Léila a attrapé un *vrai* virus "Autoit" qui inocule autorun.inf sur ses
clés.
Avira le détecte mais ne l'éradique pas.
MBAM par contre l'a supprimé
Léila a pu lire l'autorun.inf et nous a donné le "texte" contenu dans cet
autorun.
Ce texte seul dans un message ici n'est pas dangereux.
Ce qui est dangereux c'est ce que l'autorun va ouvrir par ce "texte".
Donc l'executable qu'il lance et qui doit accompagner le virus.
Or NOD32 réagit préventivement au texte qu'il ne permet pas d'ouvrir.
C'est aussi pour ça que Serge ne peut pas tout suivre il ne voit pas le
texte
Qui est en fait tout simple :
open=l'exécutable du virus
shellOuvrircommand=l'exécutable du virus
shell=Ouvrir
Ce n'est pas vraiment un FP, puisque c'est la signature de "Autoit"
Mais ce n'est pas le virus complet
-- Serge CENCI MVP MS Windows Desktop Experience https://mvp.support.microsoft.com/profile/Serge.Cenci http://www.communautes-numeriques.net/
"Herser" a écrit dans le message de news:%23aUF0bi$
Coucou à toutes et à tous wrote:
euh , là faut m'expliquer Jean-Jacques...
Euh ? :-)
Bien que je ne sois pas spécialiste des antivirus, je peux essayer d'expliquer, en gros ! :-)
Les antivirus ont deux modes de détection. Le plus classique, ils vont chercher des modèles dans une bibliothèque, ils repèrent des bouts de code connu dans les fichiers.
Il y a ensuite le mode de détection dit "heuristique". http://fr.wikipedia.org/wiki/Heuristique L'antivirus se base sur un algorithme pour déterminer s'il s'agit d'un virus ou pas. Suivant la puissance de cet algorithme et sa justesse de calcul, la détection est plus moins efficace. Il arrive parfois qu'une détection soit erronée ; on appelle ça un "faux-positif". L'avantage de ce mode de détection est que l'antivirus peut détecter un virus avant qu'il soit déjà répertorié dans la bibliothèque ainsi que les virus mutants.
Voilà, j'espère ne pas avoir dit trop de bêtises ! :-)
JJV
Re ! AMHA, c'est toutafé juste, pour les FP. Mais toujours AMHA, ce n'est pas vraiment la question de Serge Ce que je comprends : Léila a attrapé un *vrai* virus "Autoit" qui inocule autorun.inf sur ses clés. Avira le détecte mais ne l'éradique pas. MBAM par contre l'a supprimé Léila a pu lire l'autorun.inf et nous a donné le "texte" contenu dans cet autorun. Ce texte seul dans un message ici n'est pas dangereux. Ce qui est dangereux c'est ce que l'autorun va ouvrir par ce "texte". Donc l'executable qu'il lance et qui doit accompagner le virus.
Or NOD32 réagit préventivement au texte qu'il ne permet pas d'ouvrir.
C'est aussi pour ça que Serge ne peut pas tout suivre il ne voit pas le texte Qui est en fait tout simple :
open=l'exécutable du virus shellOuvrircommand=l'exécutable du virus shell=Ouvrir
Ce n'est pas vraiment un FP, puisque c'est la signature de "Autoit" Mais ce n'est pas le virus complet