[Resolu] Faux postif d'antivir,encore un !!! ????

TA-K-2-PT · le 2 mars 2008

Salut,

Apres une MAJ Spybot 1.5.2 antivir ma detécté cela :

C:\Program Files\Spybot - Search & Destroy\Updates\greekfix.exe
[DETECTION] Contains suspicious code HEUR/Crypted

C:\Program Files\Spybot - Search & Destroy\Updates\greekfix.zip

[0] Archive type: ZIP

--> greekfix.exe

[DETECTION] Contains suspicious code HEUR/Crypted

Bon je pense que c'est un faux positif car Spybot est un logiciel de confiance.

Cela dit j'aimerais avoir la confirmation du faux positif,et j'ai les deux fichiers en quarantaine,donc au besoin je peut (a priori) vous les faire parvenir.

Merci

@++++

Modifié le 4 mars 2008 par TA-K-2-PT

Zonk · le 2 mars 2008

Allo

Ca semble etre un faux positif......souvent la correction se fait dans les jours suivants....alors pense à restaurer ta sauvegarde si tout semble bel et bien "sain"

comment se porte ton Spybot S&D avec cette suppression???

.........analyse tes fichiers ici:

http://www.virustotal.com/fr/

@+

Falkra · le 2 mars 2008

C'est la détection heuristique, fais ignorer, c'est un classique.

angelique · le 2 mars 2008

j'ai pas ce fichier à cette emplacement

Répertoire de C:\Program Files\Spybot - Search & Destroy\Updates

02/03/2008 16:54 <REP> .

02/03/2008 16:54 <REP> ..

25/07/2007 19:23 559 133 clsid.zip

30/01/2008 19:22 252 684 desc.english.zip

25/05/2004 19:22 50 844 desc.francais.zip

27/02/2008 18:52 6 875 downloaded.ini

11/02/2008 13:52 2 325 fpfix.zip

23/01/2008 19:22 474 895 help.english.zip

02/09/2005 19:22 205 824 help.francais.zip

06/01/2005 19:22 39 362 helpres.francais.zip

20/02/2008 18:45 149 361 includes.hijackers.zip

27/02/2008 18:52 60 982 includes.keyloggers.zip

27/02/2008 18:52 340 287 includes.malware.zip

20/02/2008 18:46 89 886 includes.pups.zip

20/02/2008 18:46 161 342 includes.spybots.zip

27/02/2008 18:52 452 156 includes.trojans.zip

27/02/2008 18:52 806 280 includes.zip

12/12/2007 19:22 28 601 lang.francais.zip

02/03/2008 16:54 68 564 online.ini

02/03/2008 16:54 6 744 online.ini.uiz

c'est lié au Greek language

TA-K-2-PT · le 2 mars 2008

Salut,

Voila le rapport virus Total :

-pour le fichier Greekfix.zip :

Fichier greekfix.zip reçu le 2008.03.02 23:24:47 (CET)
Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.2.29.1 2008.02.29 -

AntiVir 7.6.0.73 2008.03.02 HEUR/Crypted

Authentium 4.93.8 2008.03.02 -

Avast 4.7.1098.0 2008.03.02 -

AVG 7.5.0.516 2008.03.02 Dropper.Delf.AJA

BitDefender 7.2 2008.03.02 -

CAT-QuickHeal 9.50 2008.03.01 -

ClamAV 0.92.1 2008.03.02 -

DrWeb 4.44.0.09170 2008.03.02 -

eSafe 7.0.15.0 2008.02.28 -

eTrust-Vet 31.3.5574 2008.02.29 -

Ewido 4.0 2008.03.02 -

FileAdvisor 1 2008.03.02 -

Fortinet 3.14.0.0 2008.03.02 -

F-Prot 4.4.2.54 2008.03.02 -

F-Secure 6.70.13260.0 2008.03.01 -

Ikarus T3.1.1.20 2008.03.02 -

Kaspersky 7.0.0.125 2008.03.02 -

McAfee 5242 2008.02.29 -

Microsoft 1.3301 2008.03.02 -

NOD32v2 2914 2008.03.02 -

Norman 5.80.02 2008.02.29 -

Panda 9.0.0.4 2008.03.02 Suspicious file

Prevx1 V2 2008.03.02 -

Rising 20.33.62.00 2008.03.02 -

Sophos 4.27.0 2008.03.02 -

Sunbelt 3.0.906.0 2008.02.28 -

Symantec 10 2008.03.02 -

TheHacker 6.2.92.231 2008.03.02 -

VBA32 3.12.6.2 2008.02.27 -

VirusBuster 4.3.26:9 2008.03.02 -

Webwasher-Gateway 6.6.2 2008.03.02 Heuristic.Crypted

Information additionnelle

File size: 9652 bytes

MD5: 2adffaa77f91720d9e1e85a0cb816375

SHA1: 5eafd72949a2da7ba05e2fa8fe343d2f75d1373f

PEiD: -

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.2.29.1 2008.02.29 -

AntiVir 7.6.0.73 2008.03.02 HEUR/Crypted

Authentium 4.93.8 2008.03.02 -

Avast 4.7.1098.0 2008.03.02 -

AVG 7.5.0.516 2008.03.02 Dropper.Delf.AJA

BitDefender 7.2 2008.03.02 -

CAT-QuickHeal 9.50 2008.03.01 -

ClamAV 0.92.1 2008.03.02 -

DrWeb 4.44.0.09170 2008.03.02 -

eSafe 7.0.15.0 2008.02.28 -

eTrust-Vet 31.3.5574 2008.02.29 -

Ewido 4.0 2008.03.02 -

FileAdvisor 1 2008.03.02 -

Fortinet 3.14.0.0 2008.03.02 -

F-Prot 4.4.2.54 2008.03.02 -

F-Secure 6.70.13260.0 2008.03.01 -

Ikarus T3.1.1.20 2008.03.02 -

Kaspersky 7.0.0.125 2008.03.02 -

McAfee 5242 2008.02.29 -

Microsoft 1.3301 2008.03.02 -

NOD32v2 2914 2008.03.02 -

Norman 5.80.02 2008.02.29 -

Panda 9.0.0.4 2008.03.02 Suspicious file

Prevx1 V2 2008.03.02 -

Rising 20.33.62.00 2008.03.02 -

Sophos 4.27.0 2008.03.02 -

Sunbelt 3.0.906.0 2008.02.28 -

Symantec 10 2008.03.02 -

TheHacker 6.2.92.231 2008.03.02 -

VBA32 3.12.6.2 2008.02.27 -

VirusBuster 4.3.26:9 2008.03.02 -

Webwasher-Gateway 6.6.2 2008.03.02 Heuristic.Crypted

Information additionnelle

File size: 9652 bytes

MD5: 2adffaa77f91720d9e1e85a0cb816375

SHA1: 5eafd72949a2da7ba05e2fa8fe343d2f75d1373f

PEiD: -

(j'ai peut etre mit le rapport en double dans le doute je laisse comme ça).

-rapport virus total Greekfix.exe (le rapport est le meme je vous l'affiche quand meme) :

Fichier greekfix.exe reçu le 2008.03.02 23:39:23 (CET)
Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.2.29.1 2008.02.29 -

AntiVir 7.6.0.73 2008.03.02 HEUR/Crypted

Authentium 4.93.8 2008.03.02 -

Avast 4.7.1098.0 2008.03.02 -

AVG 7.5.0.516 2008.03.02 Dropper.Delf.AJA

BitDefender 7.2 2008.03.02 -

CAT-QuickHeal 9.50 2008.03.01 -

ClamAV 0.92.1 2008.03.02 -

DrWeb 4.44.0.09170 2008.03.02 -

eSafe 7.0.15.0 2008.02.28 -

eTrust-Vet 31.3.5574 2008.02.29 -

Ewido 4.0 2008.03.02 -

FileAdvisor 1 2008.03.02 -

Fortinet 3.14.0.0 2008.03.02 -

F-Prot 4.4.2.54 2008.03.02 -

F-Secure 6.70.13260.0 2008.03.01 -

Ikarus T3.1.1.20 2008.03.02 -

Kaspersky 7.0.0.125 2008.03.02 -

McAfee 5242 2008.02.29 -

Microsoft 1.3301 2008.03.02 -

NOD32v2 2914 2008.03.02 -

Norman 5.80.02 2008.02.29 -

Panda 9.0.0.4 2008.03.02 Suspicious file

Prevx1 V2 2008.03.02 -

Rising 20.33.62.00 2008.03.02 -

Sophos 4.27.0 2008.03.02 -

Sunbelt 3.0.906.0 2008.02.28 -

Symantec 10 2008.03.02 -

TheHacker 6.2.92.231 2008.03.02 -

VBA32 3.12.6.2 2008.02.27 -

VirusBuster 4.3.26:9 2008.03.02 -

Webwasher-Gateway 6.6.2 2008.03.02 Heuristic.Crypted

Information additionnelle

File size: 16896 bytes

MD5: 04c422f1ff81aa0a5e39089de3c7c16b

SHA1: e21d7dc663fd13b29d96d1c5c53bbea4788ff7d0

PEiD: -

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.2.29.1 2008.02.29 -

AntiVir 7.6.0.73 2008.03.02 HEUR/Crypted

Authentium 4.93.8 2008.03.02 -

Avast 4.7.1098.0 2008.03.02 -

AVG 7.5.0.516 2008.03.02 Dropper.Delf.AJA

BitDefender 7.2 2008.03.02 -

CAT-QuickHeal 9.50 2008.03.01 -

ClamAV 0.92.1 2008.03.02 -

DrWeb 4.44.0.09170 2008.03.02 -

eSafe 7.0.15.0 2008.02.28 -

eTrust-Vet 31.3.5574 2008.02.29 -

Ewido 4.0 2008.03.02 -

FileAdvisor 1 2008.03.02 -

Fortinet 3.14.0.0 2008.03.02 -

F-Prot 4.4.2.54 2008.03.02 -

F-Secure 6.70.13260.0 2008.03.01 -

Ikarus T3.1.1.20 2008.03.02 -

Kaspersky 7.0.0.125 2008.03.02 -

McAfee 5242 2008.02.29 -

Microsoft 1.3301 2008.03.02 -

NOD32v2 2914 2008.03.02 -

Norman 5.80.02 2008.02.29 -

Panda 9.0.0.4 2008.03.02 Suspicious file

Prevx1 V2 2008.03.02 -

Rising 20.33.62.00 2008.03.02 -

Sophos 4.27.0 2008.03.02 -

Sunbelt 3.0.906.0 2008.02.28 -

Symantec 10 2008.03.02 -

TheHacker 6.2.92.231 2008.03.02 -

VBA32 3.12.6.2 2008.02.27 -

VirusBuster 4.3.26:9 2008.03.02 -

Webwasher-Gateway 6.6.2 2008.03.02 Heuristic.Crypted

Information additionnelle

File size: 16896 bytes

MD5: 04c422f1ff81aa0a5e39089de3c7c16b

SHA1: e21d7dc663fd13b29d96d1c5c53bbea4788ff7d0

PEiD: -

Voila donc au vu des 2 rapports Virus total j'ai laissé ces 2 fichiers en quarantaine.

Sinon Spybot semble réagir normalement (pas de plantage,de bugs ect...),j'ai verifié sa configuration (par rapport a celle donnée sur Assiste).Tous semble OK.

Falkra · le 2 mars 2008

Un Delf là dedans ? Ca a tous les aspects d'un FP... surtout dans un zip comme ça.

Dans le doute, si vous ne parlez pas grec, poubelle.

Il se télécharge quelque part, ce fichier ? On peut y jeter un oeil.

J'en ai un là :

http://ftp.rz.tu-bs.de/pub/mirror/spybot.info/sbsdupdates/

Sur VT il est signalé suspect comme plus haut.

Rien du tout chez moi, et à l'intérieur. HEUR/Crypted n'est pas nocif, c'est un cryptage détecté, qui perturbe les AV.

Modifié le 2 mars 2008 par Falkra

Falkra · le 2 mars 2008

Ce programme renomme un fichier Greek.sbl en Hellenic.sbl pendant une mise à jour. J'ai vérifié.

Sans danger, c'est bien un FP.

TA-K-2-PT · le 3 mars 2008

Salut,

Ok c'est bien un faux positif.Donc je suprime ces 2 fichiers de la quarantaine d'antivir et c'est réglé ?

Ce programme renomme un fichier Greek.sbl en Hellenic.sbl

Bah voila c'est pour cela que j'ai fait cette MAj spybot,le terme Hellenic je savait pas ce que sa signifiait du coup je l'ai installer dans le doute.

Mais donc pour le futur si je voit une MAJ avec le terme Hellenic ,sa signifie des MAJ de language,rien a voir une MAJ de détection ou autre ?

Merci de votre aide

Tchousss.

Falkra · le 3 mars 2008

C'est bine ça, en fait spybot a renommé ses propres fichiers. Hellenic c'est bien un nom pour désigner (ici en anglais) le monde grec.

L’hellénisme est l'étude de la civilisation grecque antique.

Si tu le revois passer, ce seront bien des mises à jour de fichiers de langue. Ceci dit pour spybot tu n'as pas besoin d'avoir sur la machine tous les packs de langue installés.

Tu peux supprimer les fichiers de la quarantaine d'antivir. J'ai envoyé à Avira comme FP via l'interface.

TA-K-2-PT · le 4 mars 2008

Ok merci bien

@+++

Connexion

Pas encore inscrit ?

[Resolu] Faux postif d'antivir,encore un !!! ????

Messages recommandés

TA-K-2-PT

Zonk

Falkra

angelique

TA-K-2-PT

Falkra

Falkra

TA-K-2-PT

Falkra

TA-K-2-PT

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer