2 trojans trouvés l'un par Antivir et l'autre par Spybot
3 réponses
Philippe Gueguen
Bonjour.
Je suis sous Windows 7 avec Antivir (la version gratuite) et Spybot.
Il y a quelques temps Antivir Gard(la protection proactive d'antivir)
m'a trouvé le cheval de troie TR/Agent.adh.657 sur le fichier
C:\downloads\IDPS.exe.
Ce dernier est un fichier que j'ai téléchargé il y a pas mal de temps et
que je n'ai jamais exécute. Comment Gard peut détecter un trojan sur un
fichier qui n'est pas en cours de fonctionnement?
J'ai fait un scan de mon disque dur avec antivir, pas de problème.
Faux positif?
Hier, j'ai copié le fichier csrss.exe de l'emplacement.
c:\windows\system32\ vers c:\temp.
J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan
Win32.FakeAlert.ttam sur c:\temp\csrss.exe.
J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a
trouvé aucun problème.
Là encore un faux positif?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
quiche mahut
Le 06/08/2011, Philippe Gueguen a supposé :
Bonjour.
Hier, j'ai copié le fichier csrss.exe de l'emplacement. c:windowssystem32 vers c:temp. J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan Win32.FakeAlert.ttam sur c:tempcsrss.exe. J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a trouvé aucun problème. Là encore un faux positif?
Hier, j'ai copié le fichier csrss.exe de l'emplacement. c:windowssystem32
vers c:temp.
J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan
Win32.FakeAlert.ttam sur c:tempcsrss.exe.
J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a trouvé
aucun problème.
Là encore un faux positif?
Hier, j'ai copié le fichier csrss.exe de l'emplacement. c:windowssystem32 vers c:temp. J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan Win32.FakeAlert.ttam sur c:tempcsrss.exe. J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a trouvé aucun problème. Là encore un faux positif?
Comment Gard peut détecter un trojan sur un fichier qui n'est pas en cours de fonctionnement?
Je pense qu'un simple accès au fichier déclenche 'guard'. Dans les accès possibles: - afficher le dossier dans l'explorateur (l'explorateur récupère des infos qui sont *dans* le fichier, par exemple pour les vidéos/musiques ou l'explorateur affiche la durée, la résolution,...) - l'indexage du disque dur (le "service d'indexation" par exemple) -...
J'ai fait un scan de mon disque dur avec antivir, pas de problème. Faux positif?
sans doute, ou alors pas le même réglage de sensibilité entre 'guard' et 'scan'
Hier, j'ai copié le fichier csrss.exe de l'emplacement. c:windowssystem32 vers c:temp. J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan Win32.FakeAlert.ttam sur c:tempcsrss.exe. J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a trouvé aucun problème. Là encore un faux positif?
peut-être, mais comme spybot ne joue pas tout à fait dans la même cour, c'est difficile à juger.
Pour t'aider, tu peux regarder la date du fichier et sa taille et les comparer avec un windows identique. Si la taille (particulièrement) n'est pas la même, vérifie avec les propriétés du fichier si c'est bien la même version. Si c'est bien la même version, il y a un doute sur le fichier...
Merci pour votre aide.
Quand tu as un doute, tu peux envoyer le fichier pour 'test' directement chez avira. Tu obtiens en général une réponse dans les 24H. Si c'est un faux positif, la correction est intégrée dans les mises à jour suivantes d'antivir. http://analysis.avira.com/samples/index.php
(ou 'onglet 'support', puis 'obtenir une assistance' et enfin 'Envoyer fichier suspect' en bas à droite)
Le 06/08/2011 09:57, Philippe Gueguen a écrit :
Comment Gard peut détecter un trojan sur un
fichier qui n'est pas en cours de fonctionnement?
Je pense qu'un simple accès au fichier déclenche 'guard'.
Dans les accès possibles:
- afficher le dossier dans l'explorateur (l'explorateur récupère des
infos qui sont *dans* le fichier, par exemple pour les vidéos/musiques
ou l'explorateur affiche la durée, la résolution,...)
- l'indexage du disque dur (le "service d'indexation" par exemple)
-...
J'ai fait un scan de mon disque dur avec antivir, pas de problème.
Faux positif?
sans doute, ou alors pas le même réglage de sensibilité entre 'guard' et
'scan'
Hier, j'ai copié le fichier csrss.exe de l'emplacement.
c:windowssystem32 vers c:temp.
J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan
Win32.FakeAlert.ttam sur c:tempcsrss.exe.
J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a
trouvé aucun problème.
Là encore un faux positif?
peut-être, mais comme spybot ne joue pas tout à fait dans la même cour,
c'est difficile à juger.
Pour t'aider, tu peux regarder la date du fichier et sa taille et les
comparer avec un windows identique.
Si la taille (particulièrement) n'est pas la même, vérifie avec les
propriétés du fichier si c'est bien la même version.
Si c'est bien la même version, il y a un doute sur le fichier...
Merci pour votre aide.
Quand tu as un doute, tu peux envoyer le fichier pour 'test' directement
chez avira.
Tu obtiens en général une réponse dans les 24H.
Si c'est un faux positif, la correction est intégrée dans les mises à
jour suivantes d'antivir.
http://analysis.avira.com/samples/index.php
(ou 'onglet 'support', puis 'obtenir une assistance' et enfin 'Envoyer
fichier suspect' en bas à droite)
Comment Gard peut détecter un trojan sur un fichier qui n'est pas en cours de fonctionnement?
Je pense qu'un simple accès au fichier déclenche 'guard'. Dans les accès possibles: - afficher le dossier dans l'explorateur (l'explorateur récupère des infos qui sont *dans* le fichier, par exemple pour les vidéos/musiques ou l'explorateur affiche la durée, la résolution,...) - l'indexage du disque dur (le "service d'indexation" par exemple) -...
J'ai fait un scan de mon disque dur avec antivir, pas de problème. Faux positif?
sans doute, ou alors pas le même réglage de sensibilité entre 'guard' et 'scan'
Hier, j'ai copié le fichier csrss.exe de l'emplacement. c:windowssystem32 vers c:temp. J'ai ensuite fait un scan avec Spybot et celui si m'a trouvé le trojan Win32.FakeAlert.ttam sur c:tempcsrss.exe. J'ai envoyé csrss.exe sur http://www.virustotal.com, ce dernier n'a trouvé aucun problème. Là encore un faux positif?
peut-être, mais comme spybot ne joue pas tout à fait dans la même cour, c'est difficile à juger.
Pour t'aider, tu peux regarder la date du fichier et sa taille et les comparer avec un windows identique. Si la taille (particulièrement) n'est pas la même, vérifie avec les propriétés du fichier si c'est bien la même version. Si c'est bien la même version, il y a un doute sur le fichier...
Merci pour votre aide.
Quand tu as un doute, tu peux envoyer le fichier pour 'test' directement chez avira. Tu obtiens en général une réponse dans les 24H. Si c'est un faux positif, la correction est intégrée dans les mises à jour suivantes d'antivir. http://analysis.avira.com/samples/index.php
(ou 'onglet 'support', puis 'obtenir une assistance' et enfin 'Envoyer fichier suspect' en bas à droite)