Antivir et SuperCopier1.5 (ApiHooks.dll) [Résolu]

[leminou]

Bonjour à tous,

 

Avira Antivir viens de faire sa mise à jour, depuis il me signale une cochonnerie "TR/CryptXPACK.Gen"

en pointant dans le dossier C:\APP\Supercopier\ ApiHooks.dll

 

J'utilise SuperCopier (v1.5) depuis de nombreuses années et il ne me parait pas possible de m'en passer.

 

Je viens de faire un scan en ligne avec Panda ActiveScan 2.0 et il n'a rien trouvé !

 

Comment forcer Antivir a ignorer ce problème car il me le signale sans arrêt

 

Protection : Pare-feu Comodo v2, SpywareTerminator et Antivir.

 

Voici un rapport HijackThis

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:12:36, on 19/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\APP\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\APP\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\APP\IVT Corporation\BlueSoleil\BTNtService.exe
C:\APP\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\dllhost.exe
C:\APP\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Test\Test.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\APP\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [InCD] C:\APP\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\APP\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\APP\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SuperCopier.exe] C:\APP\SuperCopier V1.35\SuperCopier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\APP\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-21-507921405-1123561945-682003330-1010\..\Run: [SuperCopier.exe] C:\APP\SuperCopier V1.35\SuperCopier.exe (User 'gagarine')
O4 - HKUS\S-1-5-21-507921405-1123561945-682003330-1010\..\Run: [H/PC Connection Agent] "C:\APP\Microsoft ActiveSync\wcescomm.exe" (User 'gagarine')
O4 - Global Startup: BlueSoleil.lnk = C:\APP\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\APP\MS Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\APP\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\APP\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\APP\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\APP\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\APP\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\APP\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{134386D6-C6AB-44FA-8C4D-E9536D7831FA}: NameServer = 192.168.30.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7413E6F9-405B-41D7-9626-77BD3FF7B495}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FB3A241-1A30-46D0-974F-A9713B41E2CE}: NameServer = 192.254.2.1
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\APP\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\APP\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\APP\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\APP\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\APP\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\APP\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 5986 bytes

 

Merci de vos conseils

Modifié le 27 septembre 2008 par leminou

[bogues007]

Salut leminou,

 

Dans Antivir

Extras

Configuration

 

Il faut aller dans Scanner, Scan, Exception puis indiquer le dossier concerné.

 

Puis, faire pareil dans Guard, Scan, Exception.

 

@+++

 

[Falkra]

C'est un faux positif. Envoie-le à Avira, depuis la quarantaine (il faudra remplir les champs de SMTP pour l'envoyer par mail).

 

Si tu ne veux/peux pas, je peux le faire pour toi, si tu m'envoies le fichier incriminé.

[Sacles]

Bonsoir,

 

C'est un faux positif. Envoie-le à Avira, depuis la quarantaine (il faudra remplir les champs de SMTP pour l'envoyer par mail).

Autre possibilité, si on n'a pas envoyé le fichier en quarantaine (déconseillé avant vérification (*)): http://analysis.avira.com/samples/index.php

 

Dans File type > Liste déroulante > Sélectionner "Suspected false positive (Not Malware)"

 

(*) Note: ceux qui veulent se rendre compte des ravages de suppressions ou de quarantaines intempestives, peuvent lire cette discussion: http://forum.malekal.com/viewtopic.php?f=12&t=13951

Moralité: ne laisser jamais la main à votre antimachin, c'est à l'utilisateur à décider des actions à entreprendre et à ne pas prendre des décisions irréfléchies. Osez temporiser, votre PC ne va pas exploser.

 

Salut.

Modifié le 19 septembre 2008 par Sacles

[leminou]

Bonjour bogues007 et Falkra,

 

J'ai ajouté le fichier à ne pas scanner.

 

C'est un faux positif. Envoie-le à Avira, depuis la quarantaine (il faudra remplir les champs de SMTP pour l'envoyer par mail).

 

Si tu ne veux/peux pas, je peux le faire pour toi, si tu m'envoies le fichier incriminé.

Merci du renseignement Falkra, le problème c'est que ce soit dans un cas comme dans l'autre je ne sais pas comment faire !

 

J'en ai fais une copie zipée mais comment te l'envoyer ?

 

Merci à vous deux.

 

EDIT Merci Sacles (je faisait la poule en même temps que toi mais moins rapide)

Modifié le 19 septembre 2008 par leminou

[Sacles]

Re,

 

Regarde mon message, juste au-dessus du dernier que tu as posté.

 

Salut.

[leminou]

Re,

 

Regarde mon message, juste au-dessus du dernier que tu as posté.

 

Salut.

J'avais bien lu ton message Sacles, le problème pour moi c'est la langue des champs a remplir qui ne sont pas compatibles avec les quelques cellules grises qui me restent

[Falkra]

Je te MP de quoi me l'envoyer.

Merci à Sacles pour le lien, ça peut être très très utile ça ; à faire connaître !

[leminou]

Bonjour Falkra,

 

MP bien reçu et exécuté.

 

@ Sacles, merci pour ton lin, je l'avais bien vu mais l'anglais et moi, ce n'est pas vraiment le grand amour

[Falkra]

Merci. C'est bien un faux positif, et 4 antivirus se trompent sur son compte.

J'ai envoyé le fichier avec un petit descriptif à Avira. Généralement ils sont assez rapides sur ces questions.