Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Attention avec Avast

marie-claire29

Par marie-claire29
dans Sécurisation, prévention

 Partager

Messages recommandés

angelique Devil Member !

angelique

Posté(e)
Posté(e)

pas forcement Faux Positif !! faut uploader user32.dll chez http://www.virustotal.com/ , et verifier le hash md5 avec un user32.dll original en fonction du SP present sur XP.

 

c'est possible d'un user32.dll patché par un trojan\niark\merdasse...

 

http://forum.avast.com/index.php?PHPSESSID...p;topic=41227.0

 

user32.dll XP SP1 --> 0118C8AD7AFB81AD9D5E3A1794E8EB78

 

File: user32.dll Status: OK MD5: 0118c8ad7afb81ad9d5e3a1794e8eb78 Packers detected: - window.google_render_ad(); Scanner results Scan taken on 25 Dec 2008 18:19:06 (GMT) A-Squared Found nothing AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing G DATA Found nothing Ikarus Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found nothing Sophos Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing

 

à verifier avec d'autres user32.dll SP2 \SP3, le md5 est different

 

exemple user32.dll patché: http://forum.malekal.com/viewtopic.php?f=62&t=15527

Lien vers le commentaire
Partager sur d’autres sites
Curson Mega Power Member

Curson

Posté(e)
Posté(e)

Bonsoir,

 

Il semblerait que ce ne soit pas forcément un FP.

 

 

Les fichiers user32.dll ayant les hashes MD5 449522e9331a5a362835489309c0f4a et c787c0e87ff196413d930ab00c941646 sont détectés comme suit :

 

 

AhnLab V3 2008.12.23.02 2008.12.23 2008-12-23 Win-Trojan/User32Hk

 

AVAST! 3.0.1 081222-0 2008-12-22 Win32:SysPatch [Wrm]

 

CA (VET) 9.0.0.143 31.6.6275 2008-12-23 Win32/Pruserinf virus.

 

Dr.Web 4.44.0.9170 2008.12.23 2008-12-23 BackDoor.Zapinit

 

F-Secure 5.51.6100 2008.12.23.08 2008-12-23 Trojan.Win32.Patched.bb [AVP]

 

GData 19.2064/19.154 20081223 2008-12-23 Trojan.Win32.Patched.bb [Engine:A]

 

Kaspersky 5.5.10 2008.12.23 2008-12-23 Trojan.Win32.Patched.bb

 

KingSoft 2008.9.8.18 2008.12.23.18 2008-12-23 Win32.Patched.bb.10

 

Microsoft 1.4205 2008.12.23 2008-12-23 Virus:Win32/Mariofev.A

 

Panda 9.05.01 2008.12.23 2008-12-23 W32/Patched.D

 

Rising 20.0 21.09.14.00 2008-12-23 Trojan.Win32.Patched.bi

 

Sophos 2.82.1 4.37 2008-12-24 Troj/User32Hk-A

 

Trend Micro 8.700-1004 5.728.11 2008-12-23 Possible_Patch-1

 

 

Le hash MD5 du fichier user32.dll légitime sous XP SP3 est e853f84d3ce2faa2a802e33cf89ac023.

 

 

marie-claire29, peux-tu scanner ton fichier user32.dll sur VirusTotal ; Tutorial : http://forum.malekal.com/viewtopic.php?f=59&t=9828

 

Poste le rapport de scan.

Lien vers le commentaire
Partager sur d’autres sites
angelique Devil Member !

angelique

Posté(e)
Posté(e)

merci pour les autres md5 Curson

 

ce qui peut effectivement confirmer d'un user32.dll patché par une vérole si le md5 ne correspond pas au legitime (ci dessous)

 

Le hash MD5 du fichier user32.dll légitime sous XP SP3 est e853f84d3ce2faa2a802e33cf89ac023
Lien vers le commentaire
Partager sur d’autres sites
marie-claire29 Member

marie-claire29

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Comme demandé par Curson : ça date de ce matin.......

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.73 2008.12.26 -

AhnLab-V3 2008.12.25.0 2008.12.26 -

AntiVir 7.9.0.45 2008.12.25 -

Authentium 5.1.0.4 2008.12.25 -

Avast 4.8.1281.0 2008.12.26 -

AVG 8.0.0.199 2008.12.25 -

BitDefender 7.2 2008.12.26 -

CAT-QuickHeal 10.00 2008.12.26 -

ClamAV 0.94.1 2008.12.26 -

Comodo 819 2008.12.26 -

DrWeb 4.44.0.09170 2008.12.26 -

eSafe 7.0.17.0 2008.12.24 -

eTrust-Vet 31.6.6276 2008.12.24 -

Ewido 4.0 2008.12.26 -

F-Prot 4.4.4.56 2008.12.24 -

F-Secure 8.0.14332.0 2008.12.26 -

Fortinet 3.117.0.0 2008.12.26 -

GData 19 2008.12.26 -

Ikarus T3.1.1.45.0 2008.12.26 -

K7AntiVirus 7.10.566 2008.12.25 Trojan.Win32.Patched.bb

Kaspersky 7.0.0.125 2008.12.26 -

McAfee 5474 2008.12.24 -

McAfee+Artemis 5474 2008.12.24 -

Microsoft 1.4205 2008.12.26 -

NOD32 3717 2008.12.25 -

Norman 5.80.02 2008.12.24 -

Panda 9.0.0.4 2008.12.26 -

PCTools 4.4.2.0 2008.12.25 -

Rising 21.09.42.00 2008.12.26 -

SecureWeb-Gateway 6.7.6 2008.12.25 -

Sophos 4.37.0 2008.12.26 -

Sunbelt 3.2.1809.2 2008.12.22 -

Symantec 10 2008.12.26 -

TheHacker 6.3.1.4.199 2008.12.23 -

TrendMicro 8.700.0.1004 2008.12.26 -

VBA32 3.12.8.10 2008.12.25 -

ViRobot 2008.12.26.1536 2008.12.26 -

VirusBuster 4.5.11.0 2008.12.25 -

Information additionnelle

File size: 579584 bytes

MD5...: e853f84d3ce2faa2a802e33cf89ac023

SHA1..: c6823df0535551f6dafac59ca9ece48eb32ab8e0

SHA256: f06da9ccea0f1fb5e9b1bf66b589f97b3b3e2cb557a58ba672c7b2a4ec9cb10e

SHA512: a4e2a840b9500381a54a660b7af0c91cc0e48cfaa7a62b58759e9a82fbe8dd06

9e9708f06df9bea1559fc459d66e7adc9ca5ec2b7b9e352fdb1916d8e62518b9

 

ssdeep: 6144:QK2jOC6uhv4+hVthtXbArE+4gwgOvjlxxzk9VHv2F6kScLOUwgZcNiGNgE9

9F9lI:NvkfrthWrEL3rlnknQfyGcDgEJn

 

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

Lien vers le commentaire
Partager sur d’autres sites
Curson Mega Power Member

Curson

Posté(e)
Posté(e)

Bonjour marie-claire29, Angélique,

 

marie-claire29, ton fichier user32.dll est clean (MD5 e853f84d3ce2faa2a802e33cf89ac023). La détection en Trojan.Win32.Patched.bb par K7AntiVirus est clairement un faux positif.

 

J'ai envoyé un mail à K7 Computing pour le leur signaler. J'espère avoir une réponse dans les 48h.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...