Fake.Beep.Sys = faux positif ?

[bdbs]

Bonjour à tous

 

Décidément, je m'inquiète en ce moment.

Un ami m'a conseillé de faire tourner un scan de Malwarebytes'Anti-Malware, "juste pour voir".

C'est ce que j'ai fait, et le bougre me sort la bestiole suivante : Fake.Beep.Sys (qui serait situé dans system32/dllcache/beep.sys).

 

J'ai cherché sur le net : très peu de sites (une dizaine à en croire google), et aucune mention sur zebulon (toujours à en croire google).

 

J'utilise KIS (avec les bons modules activés + pare-feu strict), et surfe de manière très prudente, ayant tous mes logiciels à jour.

Je n'ai pas été infcté depuis des années (tout au moins, d'après les scans réguliers que je fais de Kaspersky)

Du coup, j'espère que c'est un faux positif (et certains des forums, hélas en langue étrangère, que j'ai trouvé sur google à propos de ce machin, sembleraient le confirmer)... Pour l'instant je n'ai rien fait, attendant d'y voir plus clair sur cette "menace".

 

Quelqu'un saurait-il me conseiller ?

 

Merci !

Modifié le 5 mai 2008 par bdbs

[angelique]

bah si beep.sys est patché ::

 

Infected beep.sys Found!

 

beep.sys File Locations:

 

"C:\WINDOWS\system32\drivers\beep.sys" 38912 01/09/2008 02:25 PM

 

Infected File Listed Below:

 

C:\WINDOWS\system32\drivers\beep.sys

 

Trojan File copied to Backups Folder

Attempting to replace beep.sys with original version...

 

 

Original beep.sys Restored

 

"C:\WINDOWS\system32\dllcache\beep.sys" 4224 01/10/2008 05:51 AM

"C:\WINDOWS\system32\drivers\beep.sys" 4224 01/10/2008 05:51 AM

 

 

 

si c'est le cas!!!

 

 

• croise les doigts pour que ça fonctionne ;o)

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!)

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire)

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

[bdbs]

Bonjour Angélique et merci pour cette procédure.

 

Avant que je ne me lance, 2 dernières questions :

 

1/ mon fichier à moi ne se trouve pas dans "drivers" mais dans "system32/dllcache/beep.sys". Est-ce que cela a un impact sur la possibilité de qualifier -ou non- ce fichier comme dangereux ?

 

2/ un forum Antivir (en allemand) évoque ce fichier-là, placé au même endroit que chez moi (system32/dllcache/beep.sys) et si je comprends bien les échanges, ils disent que c'est un faux positif (également débusqué par Malwarebytes' AMW... (lequel d'ailleurs me propose de le virer au redémarrage)

 

3/ en tous les cas, même s'il n'est pas dangereux, il ne semble pas indispensable, et donc sa suppression ne posera pas de pb...

[angelique]

passe SDFix en mode sans echec , il va le déterminer tout seul ^^

 

malekal en cause là:: http://forum.malekal.com/ftopic4035.php#wrap

[bdbs]

passe SDFix en mode sans echec , il va le déterminer tout seul ^^

 

malekal en cause là:: http://forum.malekal.com/ftopic4035.php#wrap

 

rhôôô, j'hésite... (j'ai encore scanné ce fichier à l'instant avec KIS et SuperAntispyware, tous deux paramétrés au maximum dans le scan, et ils n'ont rien trouvé à dire). Je vais peut-être d'ailleurs envoyer ce fichier au labo Kaspersky, pour qu'ils me disent s'il est dangereux.

 

Bon, si personne n'a posté une autre opinion que la tienne, je fais la manip ce week-end (je tiens à comprendre cette page web, et ça va me prendre un peu de tems )

 

Cela dit, je garde de côté cet outil, et je te remercie Angélique, marquise des malwares !

[amecobil]

rhôôô, j'hésite... (j'ai encore scanné ce fichier à l'instant avec KIS et SuperAntispyware, tous deux paramétrés au maximum dans le scan, et ils n'ont rien trouvé à dire). Je vais peut-être d'ailleurs envoyer ce fichier au labo Kaspersky, pour qu'ils me disent s'il est dangereux.

 

Bon, si personne n'a posté une autre opinion que la tienne, je fais la manip ce week-end (je tiens à comprendre cette page web, et ça va me prendre un peu de tems )

 

Cela dit, je garde de côté cet outil, et je te remercie Angélique, marquise des malwares !

 

Bonjour,

j'avais le même problème exactement, après application de la procédure décrite par angelique, le problème est résolu. Merci angelique!

Modifié le 10 mai 2008 par amecobil

[bdbs]

Bonjour,

j'avais le même problème exactement, après application de la procédure décrite par angelique, le problème est résolu. Merci angelique!

 

Bonjour,

 

De mon côté je pense davantage à un faux positif.

Pour 3 raisons :

1/ ni Kaspersky ni Superantispyware ne tiquent sur ce fichier

2/ il y a exactement le même fichier (même poids, même date et même heure de dernière modification) dans "drivers"

3/ après une mise à jour des bases de Malwarebytes'Anti-Malware, ce dernier ne réagit plus sur ce fichier, qui est toujours là !!!

 

Amecobil, est-ce qu'après la procédure d'Angélique ton fichier Beep.Sys (situé dans system32/dllcache/beep.sys) a été effacé, ou non ?

 

A bientôt

 

EDIT : en fait MAM réagit sur ce fichier uniquement quand le scan est lancé depuis mon compte visiteur (or seul mon compte admin devrait justement pouvoir y avoir accès !!!!!! ) ce qui me semble bizarre !

Modifié le 11 mai 2008 par bdbs

[angelique]

Tu veux etre fixé , scan ton .sys là:

 

http://virusscan.jotti.org/

[bdbs]

Tu veux etre fixé , scan ton .sys là:

http://virusscan.jotti.org/

 

Bonjour Angélique

 

Je viens de le faire et aucun AV n'a réagi, le fichier C:\WINDOWS\system32\dllcache\beep.sys est donc OK a priori.

 

Si certains sont intéressés par ce sujet et veulent m'aider à creuser...

En fait je surfe à partir d'un compte visiteur. Et le répertoire C:\WINDOWS\system32\dllcache ne m'est pas accessible en tant que visiteur.

Or quand je lance Malwarebytes'Anti-Malware à partir de mon compte visiteur, il trouve ce fichier C:\WINDOWS\system32\dllcache\beep.sys auquel il ne devrait pourtant pas avoir accès, et le juge dangereux (le nommant fake.beep.sys).

Et quand je lance Malwarebytes'Anti-Malware à partir de mon compte admin, eh bien il passe sur ce fichier sans lui trouver de danger...

 

Vraiment curieux !

 

Est-ce qu'un rootkit pourrait faire en sorte de cacher une activité derrière ce fichier-là, ce qui pourrait expliquer que MAM réagisse ?

 

Mais en même temps je serai plutôt porté à faire confiance à KIS qui ne trouve jamais rien dans les scans que je lance.

 

On verra bien avec le temps...

 

Bon week-end

[angelique]

Passe SDFix en mode sans echec