Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Fake.Beep.Sys = faux positif ?

bdbs

Par bdbs
dans Sécurisation, prévention

 Partager

Messages recommandés

bdbs Member

bdbs

Posté(e)
  • Auteur
Posté(e) (modifié)

Bondimanche !

 

Quelques nouvelles sur ce sujet : hier j'ai mis à jour les bases MAM (le n° des bases a changé, il y a donc un changement), puis rescanné depuis mon compte admin : aucune menace :P et enfin depuis mon compte limité : menace fake.beep.sys :P ...

 

Bref, si c'est un faux positif (et je commence sérieusement à le penser depuis que j'ai lu les tests d'Amecobil), MAM n'en a pas encore pris conscience.

 

 

Quelques infos que vous avez déjà du lire, mais bon...

"File Beep.sys is located in the folder C:\Windows\System32\drivers. The file size on Windows XP is 4224 bytes.

The driver can be started or stopped from Services in the Control Panel or by other programs. File Beep.sys is a Windows core system file. The program is not visible. The service has no detailed description. File Beep.sys is a Microsoft signed file. "

Pour rappel c'est un beep.sys localisé dans dllcache qui nous pose problème, et non celui que tu décris (dans drivers) !

 

 

Tu constateras aussi que ce program "is not visible": tu ne peux pas le voir (ni le régler, ni le désactiver visiblement), ce qui pourrait expliquer (je parle au conditionnel!) que MBAM le repère comme étant "louche".

Certes, mais il est loin d'être le seul dans ce cas, or MAM ne tique que sur celui-ci !

 

 

Quant au fait que MBAM puisse scanner tes répertoires même en mode limité, ça ne m'étonne pas: je crois savoir qu'Ewido, à titre d'exemple, peut carrément s'exécuter sur un compte limité, sans autorisation préalable. Certains logicield savent outrepasser ces droits, à ma connaissance.

Bien sûr, mais pourquoi peut-il scanner hors du périmètre du compte limité, mais pas corriger hors de ce même périmètre ? Enfin c'est dommage qu'il ne puisse pas corriger sur le périmètre sur lequel il scanne !

 

 

Pour ton virus heuristique dans le Restore: il s'agit d'un reste de virus "embarqué" dans la Restauration Système de ton PC: il ne présente aucun danger (SAUF si tu restaures ton PC bien sûr!), mais les antivirus, s'il trouve bien ces traces, ne peuvent les supprimer: i lfaut le faire à la main:

En fait Kaspersky parvenait (apparemment !) sans souci à le supprimer, mais ce qui m'ennuyait c'est qu'il remontait l'alerte quand je scannais tout le PC, mais en re-scannant le fichier en particulier dans la quarantaine, KIS le juge finalement sain et digne d'être restauré. Et au scan d'après ça recommence : menace à supprimer ou mettre en quarantaine, et en rescannant en détail, il est "sain"...

 

 

1) Sur un autre machine qui ne surf pas sur le net, et sur laquelle j'ai installé MAM, je trouve exactement les mêmes réactions.

Rien en compte admin, et réaction de MAM en compte limité (toujours la même alerte)

2) (après avoir coché "afficher les fichiers et les dossiers cachés" + décoché "masquer les extentions etc", et "masquer les fichiers protégés etc".. ), dans Options des dossiers.

Les caractéristiques suivantes sont identiques sur les 2 OS, c'est à dire:

Sous compte admin, dans dllcache , beep.sys , taille: 4224 octets. Taille sur le disque: 4096 octets. Dans drivers, beep.sys, taille: 4224 octets. Taille sur le disque: 4096 octets.

Sous compte limité, dans dllcache, beep.sys, taille: 0 octet. Taille sur le disque: 0 octet. Dans drivers, beep.sys, taille: 4224 octets. Taille sur le disque: 8196 octets.

3) J'en conclu donc, les 2 disques durs n'étant pas en relation l'un avec l'autre, que les caractéristiques ci-dessus ne sont pas :P corrompues.

Si cette machine n'a jamais surfé sur le net et n'a pas risqué d'être infectée (clé usb etc.) alors c'est effectivement le test le plus pertinent (je laisse de côté les PC vérolés à l'usine :P ), et ce résultat est rassurant ! Merci !

 

 

4) Il y a des différences de tailles de beep.sys entre les comptes admin et limité, est-ce ce qui fait réagir MAM ? :P

Chez moi il n'y a pas de différence de taille (mais je ne peux le constater que quand je vérifie depuis mon compte admin).

Quand j'essaye de vérifier depuis mon compte limité, je n'ai pas accès au beep.sys du répertoire dllcache !

Modifié par bdbs

angelique Devil Member !

angelique

Posté(e)
Posté(e)

version 5.1.2600.0 de beep.sys chez moi donne un MD5 que j'ai calculé de:

 

DA1F27D85E0D1525F6621372E7B685E9 << beep.sys dll cache

 

DA1F27D85E0D1525F6621372E7B685E9 << beep.sys %systemroot%\driver

 

donc sur cette page http://fr.internetsecurityzone.com/Entities/?_BEEP+Driver se refere à:

 

NOM DE LA SOCIÉTÉ: Microsoft CorporationATTRIBUTS DU FICHIER: ArchiveDESCRIPTION DU FICHIER: BEEP DriverDOSSIER DU FICHIER: %SYSTEM%\driversNOM DU FICHIER: beep.sysTAILLE DU FICHIER: 4,224 KoVERSION DU FICHIER: 5.1.2600.0 (xpclient.010817-1148)NOM INTERNE: beep.sysCOPYRIGHT: Microsoft Corporation. All rights reserved.SIGNATURE MD5: da1f27d85e0d1525f6621372e7b685e9NOM DU FICHIER D'ORIGINE: beep.sysVERSION DU PRODUIT: 5.1.2600.0DOSSIER SPÉCIAL: SYSTEM
NOM DE LA SOCIÉTÉ: Microsoft CorporationATTRIBUTS DU FICHIER: Archive, CompresséDESCRIPTION DU FICHIER: BEEP DriverDOSSIER DU FICHIER: %SYSTEM%\dllcacheNOM DU FICHIER: beep.sysTAILLE DU FICHIER: 4,224 KoVERSION DU FICHIER: 5.1.2600.0 (xpclient.010817-1148)NOM INTERNE: beep.sysCOPYRIGHT: Microsoft Corporation. All rights reserved.SIGNATURE MD5: da1f27d85e0d1525f6621372e7b685e9NOM DU FICHIER D'ORIGINE: beep.sysVERSION DU PRODUIT: 5.1.2600.0DOSSIER SPÉCIAL: SYSTEM

 

 

 

et chez toi??

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Yo!

 

Peut-être serait-il plus simple de poster sur le forum de MBAM? A moins que cela ait déjà été fait.

bdbs Member

bdbs

Posté(e)
  • Auteur
Posté(e)
version 5.1.2600.0 de beep.sys chez moi donne un MD5 que j'ai calculé de:

DA1F27D85E0D1525F6621372E7B685E9 << beep.sys dll cache

DA1F27D85E0D1525F6621372E7B685E9 << beep.sys %systemroot%\driver

donc sur cette page http://fr.internetsecurityzone.com/Entities/?_BEEP+Driver se refere à:

...

et chez toi??

Bonjour Angélique, je ne connais pas MD5, que dois-je lancer pour obtenir ce qui me permettra de répondre à ta question "et chez toi" ?

 

 

Peut-être serait-il plus simple de poster sur le forum de MBAM? A moins que cela ait déjà été fait.

Bonjour oGu, tu as raison, autant les contacter directement ! je les contacterai (via forum ou contact dans leur site) si la situation n'évoluait pas avec leurs prochaines updates de signatures d'ici qqs jours.

 

 

Bah au fond je pense bien que vous avez raison (et le test sur machine "vierge" d'Amecobil vient le confirmer) : ce doit définitivement être un faux positif... Mais tirons les choses au clair :P

bdbs Member

bdbs

Posté(e)
  • Auteur
Posté(e)

Entendu, mais cela signifie que je devrai passer par mon compte admin, donc je fais ça dans l'après-midi !

 

je poste les résultats ici dans qqs heures

 

merci ô Angélique :P

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...