Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Trojan TR/Dlbr.Zlob.ZNQ

CIOCC

Par CIOCC
dans Analyses et éradication malwares

 Partager

Messages recommandés

CIOCC Power Member

CIOCC

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

 

suite à la réinstallation de mon PC avec les CD qui allaient bien, j' ai récupéré Norton AV gatuit pendant 2 mois. Les 2 mois étant passés, j' ai maintenant installé Antivir free et Zone alrme free en attendant mieux.

 

Le scan antivir n'arrête pas de detecter toujours le même fichier comme un Trojan du nom de TR/Dlbr.Zlob.ZNQ

 

le chemin d' accès est le suivant

 

C:\Program Files\Club-Internet\Assistance\OutilsCI

 

rien que le fait de voir le fichier à l'écran via l' explorer, Antivir se déclanche. Je trouve assez étrange qu' un fichier que j' ai installé moi même pour avoir un accès internet soit reconnu comme un cheval de troie.

 

Est-ce un problème ou pas. Si je supprime ce fichier, je suppose que je ne pourrai plus supprimer Club-internet de mon PC.

 

Quelqu' un aurait-il un avis sur le sujet.

 

A+

 

Ciocc

Modifié par CIOCC

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir CIOCC :P

 

Est-ce un problème ou pas.
Je ne le pense pas.

 

Le souci semble récurrent avec fichier, avec Antivir et Bitdefender (suivant certaines versions). Cela ressemble à un faux positif, plusieurs sujets évoquent déja cette détection (au sein de désinfections diverses), mais si personne ne leur fait remonter ce fichier, ce faux-positif (s'il s'agit bien d'un faux positif) ne sera jamais corrigé.

 

Donc, rends toi sur le lien suivant : http://analysis.avira.com/samples/index.php

  • Les cases "title", "name", "email-adress" et "langage" ne devraient pas te poser de soucis
  • Dans la case "File Type", sélectionne Suspected False Positive
  • En "response type", laisse à html
  • Dans "your File", clique sur "Parcourir", et rends toi jusque sur le fichier :

  • C:\Program Files\Club-Internet\Assistance\OutilsCI\uninstall.exe

  • Puis, clique sur "Ouvrir" pour valider ton choix.
  • Enfin, clique sur "SEND" pour expédier le message.

Tu seras notifié par la suite via mail.

 

Profites en pour contrôler ce fichier avec d'autres antivirus, histoire d'en avoir le coeur net, avec la procédure suivante :

 

Rends toi sur ce lien : Virus Total

  • Clique sur Parcourir
  • Rends toi jusque sur le fichier qui nous intéresse
  • Clique sur Envoyer le fichier si VirusTotal dit que le fichier a déjà été analysé, clique sur Reanalyse le fichier maintenant.
  • Laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes, voire désactiver temporairement Antivir.

 

A bientôt (si entretemps tu as déja eu une réponse d'Avira, communique la également dans ta réponse.)

CIOCC Power Member

CIOCC

Posté(e)
  • Auteur
Posté(e)

Bonsoir Gof,

 

s'était bien mon idée. J'ai déjà effectué virus total et seulement 2 AV ont détecté ce pb, Antivir et Webwasher-Gateway, 2 sur 33. Normalement pas de quoi s' affoler.

 

Le problème principal est lors des scan que je fais plutôt la nuit. Dès que Antivir scan trouve un fichier suspect, il s' arrête. La solution a cours terme, en attendant le prise en compte par Antivir de mon Email, est peut- être de sauvegarder ce fichier .uninstall sur une clé USB ou sur mon DD et de la recharger lorsque j'en aurais besoin.

 

Qu'en pense-tu?

 

Ciocc

 

 

 

Bonsoir CIOCC :P

 

Je ne le pense pas.

 

Le souci semble récurrent avec fichier, avec Antivir et Bitdefender (suivant certaines versions). Cela ressemble à un faux positif, plusieurs sujets évoquent déja cette détection (au sein de désinfections diverses), mais si personne ne leur fait remonter ce fichier, ce faux-positif (s'il s'agit bien d'un faux positif) ne sera jamais corrigé.

 

Donc, rends toi sur le lien suivant : http://analysis.avira.com/samples/index.php

  • Les cases "title", "name", "email-adress" et "langage" ne devraient pas te poser de soucis
  • Dans la case "File Type", sélectionne Suspected False Positive
  • En "response type", laisse à html
  • Dans "your File", clique sur "Parcourir", et rends toi jusque sur le fichier :

  • C:\Program Files\Club-Internet\Assistance\OutilsCI\uninstall.exe

  • Puis, clique sur "Ouvrir" pour valider ton choix.
  • Enfin, clique sur "SEND" pour expédier le message.

Tu seras notifié par la suite via mail.

 

Profites en pour contrôler ce fichier avec d'autres antivirus, histoire d'en avoir le coeur net, avec la procédure suivante :

 

Rends toi sur ce lien : Virus Total

  • Clique sur Parcourir
  • Rends toi jusque sur le fichier qui nous intéresse
  • Clique sur Envoyer le fichier si VirusTotal dit que le fichier a déjà été analysé, clique sur Reanalyse le fichier maintenant.
  • Laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes, voire désactiver temporairement Antivir.

 

A bientôt (si entretemps tu as déja eu une réponse d'Avira, communique la également dans ta réponse.)

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir CIOCC :P

 

J'aurais souhaité voir le rapport Virustotal, s'il t'est possible de le poster dans ton prochain post (en entier avec tous les éléments).

 

Dès que Antivir scan trouve un fichier suspect, il s' arrête. La solution a cours terme, en attendant le prise en compte par Antivir de mon Email, est peut- être de sauvegarder ce fichier .uninstall sur une clé USB ou sur mon DD et de la recharger lorsque j'en aurais besoin.
Cela peut être une solution, mais pas la meilleure je pense. S'il s'arrête, c'est parce que le "scanneur" est configuré en "interactive" (nécessite l'interaction avec l'utilisateur en cas de détections). 0

 

Tu peux le configurer en automatique ("automatic"), en choisissant quelles sont les actions à configurer en cas de détection.

 

Si tu crains de ne faire une bêtise, tu peux laisser en "automatic" et sélectionner "ignore" : ainsi, tu seras notifié en fin d'anazlyse de détections, mais Antivir n'aura pas traité par lui-même ces détections.

 

Autre solution, mettre ce fichier en "Exception", de sorte qu'il ne l'analyse pas.

 

Toutes ces options sont disponibles dans la configuration avancée du "scanner". Si tu ne sais pas comment y accéder, tu trouveras des tutos sur les liens suivants (tu as l'embarras du choix) :

tuto de Tesgaz
tuto de Malekal Morte
tuto de Falkra

CIOCC Power Member

CIOCC

Posté(e)
  • Auteur
Posté(e)

Bonjour Gof,

 

de memoire il n´y avait pas beaucoup d´infos si ce n´est que seuls 2 AV avaient identifié ce fichier Club Ínternet comme Cheval de Troie.

 

Je suis en ce moment au boulot. Je te poste ceci ce soir.

 

A+

 

Ciocc

 

 

Bonsoir CIOCC :P

 

J'aurais souhaité voir le rapport Virustotal, s'il t'est possible de le poster dans ton prochain post (en entier avec tous les éléments).

 

Cela peut être une solution, mais pas la meilleure je pense. S'il s'arrête, c'est parce que le "scanneur" est configuré en "interactive" (nécessite l'interaction avec l'utilisateur en cas de détections). 0

 

Tu peux le configurer en automatique ("automatic"), en choisissant quelles sont les actions à configurer en cas de détection.

 

Si tu crains de ne faire une bêtise, tu peux laisser en "automatic" et sélectionner "ignore" : ainsi, tu seras notifié en fin d'anazlyse de détections, mais Antivir n'aura pas traité par lui-même ces détections.

 

Autre solution, mettre ce fichier en "Exception", de sorte qu'il ne l'analyse pas.

 

Toutes ces options sont disponibles dans la configuration avancée du "scanner". Si tu ne sais pas comment y accéder, tu trouveras des tutos sur les liens suivants (tu as l'embarras du choix) :

tuto de Tesgaz
tuto de Malekal Morte
tuto de Falkra

 

 

Bonjour Gof,

 

de memoire il n´y avait pas beaucoup d´infos si ce n´est que seuls 2 AV avaient identifié ce fichier Club Ínternet comme Cheval de Troie.

 

Je suis en ce moment au boulot. Je te poste ceci ce soir.

 

A+

 

Ciocc

 

 

Bonsoir CIOCC :P

 

J'aurais souhaité voir le rapport Virustotal, s'il t'est possible de le poster dans ton prochain post (en entier avec tous les éléments).

 

Cela peut être une solution, mais pas la meilleure je pense. S'il s'arrête, c'est parce que le "scanneur" est configuré en "interactive" (nécessite l'interaction avec l'utilisateur en cas de détections). 0

 

Tu peux le configurer en automatique ("automatic"), en choisissant quelles sont les actions à configurer en cas de détection.

 

Si tu crains de ne faire une bêtise, tu peux laisser en "automatic" et sélectionner "ignore" : ainsi, tu seras notifié en fin d'anazlyse de détections, mais Antivir n'aura pas traité par lui-même ces détections.

 

Autre solution, mettre ce fichier en "Exception", de sorte qu'il ne l'analyse pas.

 

Toutes ces options sont disponibles dans la configuration avancée du "scanner". Si tu ne sais pas comment y accéder, tu trouveras des tutos sur les liens suivants (tu as l'embarras du choix) :

tuto de Tesgaz
tuto de Malekal Morte
tuto de Falkra

CIOCC Power Member

CIOCC

Posté(e)
  • Auteur
Posté(e)

[Re,

 

voici la rapport Virus Total

 

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.6.19.0 2008.06.20 -

AntiVir 7.8.0.59 2008.06.20 TR/Dldr.Zlob.ZQN

Authentium 5.1.0.4 2008.06.20 -

Avast 4.8.1195.0 2008.06.20 -

AVG 7.5.0.516 2008.06.21 -

BitDefender 7.2 2008.06.21 -

CAT-QuickHeal 9.50 2008.06.20 -

ClamAV 0.93.1 2008.06.21 -

DrWeb 4.44.0.09170 2008.06.21 -

eSafe 7.0.15.0 2008.06.19 -

eTrust-Vet 31.6.5892 2008.06.21 -

Ewido 4.0 2008.06.21 -

F-Prot 4.4.4.56 2008.06.20 -

F-Secure 7.60.13501.0 2008.06.20 -

Fortinet 3.14.0.0 2008.06.21 -

GData 2.0.7306.1023 2008.06.21 -

Ikarus T3.1.1.26.0 2008.06.21 -

Kaspersky 7.0.0.125 2008.06.21 -

McAfee 5322 2008.06.20 -

Microsoft 1.3604 2008.06.21 -

NOD32v2 3205 2008.06.21 -

Norman 5.80.02 2008.06.20 -

Panda 9.0.0.4 2008.06.21 -

Prevx1 V2 2008.06.21 -

Rising 20.49.52.00 2008.06.21 -

Sophos 4.30.0 2008.06.21 -

Sunbelt 3.0.1153.1 2008.06.15 -

Symantec 10 2008.06.21 -

TheHacker 6.2.92.356 2008.06.20 -

TrendMicro 8.700.0.1004 2008.06.20 -

VBA32 3.12.6.7 2008.06.21 -

VirusBuster 4.3.26:9 2008.06.12 -

Webwasher-Gateway 6.6.2 2008.06.21 Trojan.Dldr.Zlob.ZQN

Information additionnelle

File size: 39829 bytes

MD5...: e4e7a13a0045e613e88d5043fcd1383a

SHA1..: 8f6cee856e851e8a5159879c5c225c74b4912eff

SHA256: de1aa962ef3104991320bb9bc93ebfdb08006a6e3be96489a8e0715082faeb3b

SHA512: 33892a30dca027c68cabbc9250617166ff9e45d7b54718958cc9cd7664b08423

6ce65d0c2b7c3934c6bacf73911d9a829461d1d027f1eca69f2981cfbcfe81f5

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x403166

timedatestamp.....: 0x4538cd1d (Fri Oct 20 13:20:29 2006)

machinetype.......: 0x14c (I386)

 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5bfe 0x5c00 6.49 6e321acf0da7e80b8a1bbd2b5f6cb158

.rdata 0x7000 0x11fe 0x1200 5.28 74487a69e7662347f676ab791311704a

.data 0x9000 0x264d4 0x400 5.22 8f1a143c7000f5dab24763a51f33162c

.ndata 0x30000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x39000 0x13a8 0x1400 3.98 854858748b3ac8ea4e142fa185667c4a

 

( 8 imports )

> KERNEL32.dll: CloseHandle, SetFileTime, CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetFileSize, GetModuleFileNameA, GetTickCount, GetCurrentProcess, lstrcmpiA, ExitProcess, GetCommandLineA, GetWindowsDirectoryA, GetTempPathA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, lstrcmpA, GetEnvironmentVariableA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, SetErrorMode, GetModuleHandleA, LoadLibraryA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, CopyFileA

> USER32.dll: ScreenToClient, GetWindowRect, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, EndDialog, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxA, CharPrevA, DispatchMessageA, PeekMessageA, CreateDialogParamA, DestroyWindow, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, RegisterClassA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, TrackPopupMenu, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow

> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject

> SHELL32.dll: SHGetMalloc, SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation

> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA

> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create

> ole32.dll: OleInitialize, OleUninitialize, CoCreateInstance

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

 

( 0 exports )

 

A+

 

Ciocc

 

 

 

 

 

quote name=CIOCC' date='lundi 23 juin 2008 à 11h16' post='1244651]

Bonjour Gof,

 

de memoire il n´y avait pas beaucoup d´infos si ce n´est que seuls 2 AV avaient identifié ce fichier Club Ínternet comme Cheval de Troie.

 

Je suis en ce moment au boulot. Je te poste ceci ce soir.

 

A+

 

Ciocc

 

 

 

 

 

Bonjour Gof,

 

de memoire il n´y avait pas beaucoup d´infos si ce n´est que seuls 2 AV avaient identifié ce fichier Club Ínternet comme Cheval de Troie.

 

Je suis en ce moment au boulot. Je te poste ceci ce soir.

 

A+

 

Ciocc

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...