(Resolu)Infection dans Spybot S&D

[TA-K-2-PT]

Salut,

 

Apres un scan avec Spybot S&D,une infection a été trouvée sous le nom de SpyAgent et le fichier unvise32.exe (présent dans le dossier Windows).

 

Apres nettoyage de l'infection j'ai effectué une recherche de ce fichier (unvise32.exe).

 

Et je le retrouve dans ..../Spybot S&D/Recovery (dans le fichier SpyAgent.zip)

 

Quel est le but de ce dossier (Recovery) ?

 

-Est ce la quarantaine de spybot ?

 

Et dans ce cas est ce que je peut suprimer ce fichier,voir tous les .zip present dans ce dossier.

 

-Est ce que c'est les Maj de spybot ?

 

Enfin en gros a quoi sert le dossier Recovery,et puis je suprimer le fichier SpyAgent.zip (voir tous les fichiers présent dans ce dossier) ?

 

Merci

 

@++++

Modifié le 28 septembre 2007 par TA-K-2-PT

[Sacles]

Bonjour,

 

http://www.safer-networking.org/fr/faq/4.html

 

Salut.

[Falkra]

Bonjour, quel logiciel a trouvé cette "infection" ?

Dans le doute, envoie ton fichier sur virustotal et poste le rapport. On dirait juste une réaction épidermique d'antivirus sur un fichier de désinstallation.

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur ce fichier si tu le trouves :
  

• C:\répertoire\fichierexemple.abc
  

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

[TA-K-2-PT]

Salut,

 

Alors si j'ai bien tout comprit (ce qui n'est pas sur du tout).

 

Ce serait se qu'on apelle un faux positif.Mais l'infection ce trouvais dans le dossier windows (et peut etre [je ne suis pas sur] dans le dossier system32).

 

Alor est ce une veritable infection qui une fois netoyé a était placé dans Recovery ?

 

Ou est ce un faux postif,le fichier fesant partie des "problemes" corrigés lors d'un scan précédent ?

 

Merci sacles,car ce qui est expliqué sur le lien je ne le savait absolument pas.

 

@++++

 

PS: je met le topic comme Resolu,car ma question principale a trouvé sa réponse.

[TA-K-2-PT]

Alor,

 

C'est Spybot S&D qui a trouvé l'infection.

 

Voici le log de Virus Total.Par contre une précision,Spybot me détéctais l'infection par le fichier unvise32.exe present dans le dossier windows.

 

Ce fichier (unvise32.exe) n'est plus present dans le dossier windows.

 

J'ai donc scanné avec Virus Total le fichier SpyAgent.zip a partir de ..../Spybot S&D/Recovery.

 

 

 

 

Fichier SpyAgent.zip reçu le 2007.09.27 11:20:56 (CET)

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.9.27.0 2007.09.27 -

AntiVir 7.6.0.15 2007.09.27 -

Authentium 4.93.8 2007.09.27 -

Avast 4.7.1043.0 2007.09.26 -

AVG 7.5.0.488 2007.09.26 -

BitDefender 7.2 2007.09.27 -

CAT-QuickHeal 9.00 2007.09.26 -

ClamAV 0.91.2 2007.09.26 -

DrWeb 4.33 2007.09.27 -

eSafe 7.0.15.0 2007.09.23 -

eTrust-Vet 31.2.5168 2007.09.27 -

Ewido 4.0 2007.09.27 -

FileAdvisor 1 2007.09.27 -

Fortinet 3.11.0.0 2007.09.27 -

F-Prot 4.3.2.48 2007.09.26 -

F-Secure 6.70.13030.0 2007.09.27 -

Ikarus T3.1.1.12 2007.09.27 -

Kaspersky 7.0.0.125 2007.09.27 -

McAfee 5128 2007.09.26 -

Microsoft 1.2803 2007.09.27 -

NOD32v2 2554 2007.09.26 error - password-protected file

Norman 5.80.02 2007.09.26 -

Panda 9.0.0.4 2007.09.27 -

Prevx1 V2 2007.09.27 -

Rising 19.42.32.00 2007.09.27 -

Sophos 4.21.0 2007.09.27 -

Sunbelt 2.2.907.0 2007.09.26 -

Symantec 10 2007.09.27 -

TheHacker 6.2.6.072 2007.09.27 -

VBA32 3.12.2.4 2007.09.26 -

VirusBuster 4.3.26:9 2007.09.26 -

Webwasher-Gateway 6.0.1 2007.09.27 -

Information additionnelle

File size: 42713 bytes

MD5: 086ca00e15211ab8fe771a0cc83fe85d

SHA1: 02c87285b5af67d64f629eff2d4f0a60e4b958b2

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.9.27.0 2007.09.27 -

AntiVir 7.6.0.15 2007.09.27 -

Authentium 4.93.8 2007.09.27 -

Avast 4.7.1043.0 2007.09.26 -

AVG 7.5.0.488 2007.09.26 -

BitDefender 7.2 2007.09.27 -

CAT-QuickHeal 9.00 2007.09.26 -

ClamAV 0.91.2 2007.09.26 -

DrWeb 4.33 2007.09.27 -

eSafe 7.0.15.0 2007.09.23 -

eTrust-Vet 31.2.5168 2007.09.27 -

Ewido 4.0 2007.09.27 -

FileAdvisor 1 2007.09.27 -

Fortinet 3.11.0.0 2007.09.27 -

F-Prot 4.3.2.48 2007.09.26 -

F-Secure 6.70.13030.0 2007.09.27 -

Ikarus T3.1.1.12 2007.09.27 -

Kaspersky 7.0.0.125 2007.09.27 -

McAfee 5128 2007.09.26 -

Microsoft 1.2803 2007.09.27 -

NOD32v2 2554 2007.09.26 error - password-protected file

Norman 5.80.02 2007.09.26 -

Panda 9.0.0.4 2007.09.27 -

Prevx1 V2 2007.09.27 -

Rising 19.42.32.00 2007.09.27 -

Sophos 4.21.0 2007.09.27 -

Sunbelt 2.2.907.0 2007.09.26 -

Symantec 10 2007.09.27 -

TheHacker 6.2.6.072 2007.09.27 -

VBA32 3.12.2.4 2007.09.26 -

VirusBuster 4.3.26:9 2007.09.26 -

Webwasher-Gateway 6.0.1 2007.09.27 -

 

Information additionnelle

File size: 42713 bytes

MD5: 086ca00e15211ab8fe771a0cc83fe85d

SHA1: 02c87285b5af67d64f629eff2d4f0a60e4b958b2

 

 

En complement voila le log de Spybot:

 

--- Report generated: 2007-09-27 08:51 ---

 

SpyAgent: Exécutable (Fichier, fixed)

C:\WINDOWS\unvise32.exe

 

 

PS: si je peut effectuer d'autre verification qui vous aiderons a identifier l'infection,aucun probleme.

Modifié le 27 septembre 2007 par TA-K-2-PT

[Zonk]

Allô TA-K-2-PT

Si j'ai bien compris VirudTotal ne trouve rien...

pour ma part j'ai déjà vérifie avec Jotti

http://virusscan.jotti.org/

un fichier étant dans la quarantaine de SpySweeper et le résultat de plusieurs antivirus me donnait une infection (qui changeait de nom selon l'antivirus)......après recherche j'ai compris que c'était un faux-positif (merci Charles Ingall !)et par la suite j'ai analyser le ou les items hors quarantaine et rien à signaler de la part de Jotti....tout ça pour te dire que je crois qu'un item analyser par Jotti en quarantaine ne donne pas nécessairement un regard objectif......comme si la mise en quarantaine altérerait le fichier et exagérerait sa dangerosité........reste à voir si je suis le seul à avoir vécu une chose du genre.....et savoir si le phénomène est possible avec VirusTotal

http://forum.zebulon.fr/index.php?showtopic=124705&hl=

Modifié le 27 septembre 2007 par Zonk

[Sacles]

Re,

 

Un logiciel comme AVG Antispyware crypte les pestes qu'il met en quarantaine.

 

Je ne sais pas ce que fait Spybot (à voir éventuellement dans l'aide, je utilise plus Spybot).

 

Salut.

Modifié le 27 septembre 2007 par Sacles

[Zonk]

Re,

 

Un logiciel comme AVG Antispyware crypte les pestes qu'il met en quarantaine.

 

Je ne sais pas ce que fait Spybot (à vérifier éventuellement dans l'aide, je utilise plus Spybot).

 

Salut.

...si j'ai bien compris Spybot compresse et protège par un mot de passe.....ce qui évite l'affolement des autres antipestes

@+

[TA-K-2-PT]

Alors j'ai trouver sa qui pourrait peut etre vous aidez.

 

Dans CCleaner en utilsant l'option ERREUR je trouve ces deux lignes:

 

DLL partagées manquantes---->C:\WINDOWS\unvise32.exe--->HKLM\SOFTAWRE\Microsoft\Windows\CurrentVersion\SharedDlls

 

Réference de Déinstalltion Invalide----->C:\WINDOWS\unvise32.exe C:\WINDOWS\Cycore FX-1.0.1-for-After Effects-Uninstall.log--->HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Cycore FX 1.0.1 for After Effects

 

Ce qui est bizard c'est Cycore FX 1.0.1 (qui est un plugin d'after effect) je ne l'ai jamais désintallé.

 

J'ai verifié il n'est plus présent dans ajout supr. de programme.

 

Par contre il est toujours présent dans Total Uninstal (c'est avec Tuninstal que je l'avait installé)

 

Alor la je comprend pas trop.Par contre je pense que sa peu avoir une relation avec une mauvaise utilisation de Gmer

 

cf ce topic

 

Comme expliqué vite fait dans ce topic,mon pc a eu des reactions assé incompréhensibles suite a la désintallation de Gmer.

 

@++++

 

PS: la veille du téléchargement de Gmer et de son utilisation,j'ai effectué un check up complet de mon pc ,rein n'etait détécté.

 

Je pense donc que cela a un rapport.

 

Complement:

 

Je vient de déinstaller Cycore via Total Uninstal,et il me dit cela:

 

Mise à jour du compteur de fichier partagé:C:\WINDOWS\unvise32.exe ... ERREUR (compteur déjà supprimé -> application déjà désinstallée ?)

 

Modifié le 27 septembre 2007 par TA-K-2-PT

[Falkra]

Bonsoir, je confirme que spybot s&d crypte ce qu'il met en quarantaine, par mot de passe sur fichier compressé.