Warning de la part de ESET smart security sur un processus, que faire

[Guilhem89]

Bonsoir,

 

 

 

En me connectant juste tout à l'heure, j'ai eu une alerte de Eset smart security :

 

 

Elle concerne un processus windows, j'ai fait une analyse anti malware dans le dossier system32, sans résultat. Je me seuis renseigné dans la BDD de DOD32, selon elle, il se pourrait simplement qu'il y ait eu une MAJ, ce dont je doute car je ne me suis pas connecté sur le web depuis dimanche dernier avec mon PC...

 

J'ai fait deny et je fais une analyse antivirus...

 

Que faire d'autre ?

 

merci

[oGu]

Salut.

 

Tu as eu un bon réflexe en l'ignorant, si ce fichier est sain, sa suppression aurait mis une grosse pagaille dans ton PC !

 

On va voir si c'est un faux-positif:

 

NOVIRUSTHANKS

 

Va sur le site NoVirusThanks ! en cliquant sur cette image:

 

• Copie cette ligne:
   

  C:\WINDOWS\System32\svchost.exe

   
   
  
• Sur la page NoVirusThanks, clique sur le bouton "Parcourir"
   
   
  
• Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
   
  
   
   
  
• Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
   
   
  
• Sur la page NoVirusThanks, clique maintenant sur le bouton "Submit File"
  
  et laisse travailler tant que "Status: scanning" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Status: finished"), descend en bas de la page et copie le contenu de l'intégralité de la boîte intitulée BB Code:
   
  
   
   
  
• Enfin colle le résultat dans ta prochaine réponse.
   
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Modifié le 16 janvier 2009 par oGu

[Guilhem89]

Salut!

 

 

Merci d'avoir répondu!

 

 

Tout d'abord je précise que l'analyse nod32 n'a rien donnée.

 

J'ai essayé d'utiliser ton site, mais il 'avait l'air de bugger, j'ai juste eu comme résultat "virus scanner"...

[oGu]

Alors essaie celui-ci!

 

 

 

VIRUSTOTAL

 

Rends-toi sur le site VirusTotal en cliquant sur cette image:

• Copie cette ligne:
   
  C:\WINDOWS\System32\svchost.exe
   
   
  
• Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:
   
  
   
   
  
• Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
   
  
   
  
• Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
   
  
• Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
  et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
   
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
   
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

[Guilhem89]

Fichier svchost.exe reçu le 2009.01.18 07:14:08 (CET)

Situation actuelle: terminé

Résultat: 0/39 (0.00%)

Formaté Formaté

Impression des résultats Impression des résultats

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.73 2009.01.18 -

AhnLab-V3 2009.1.15.0 2009.01.17 -

AntiVir 7.9.0.57 2009.01.17 -

Authentium 5.1.0.4 2009.01.17 -

Avast 4.8.1281.0 2009.01.16 -

AVG 8.0.0.229 2009.01.17 -

BitDefender 7.2 2009.01.18 -

CAT-QuickHeal 10.00 2009.01.17 -

ClamAV 0.94.1 2009.01.18 -

Comodo 934 2009.01.17 -

DrWeb 4.44.0.09170 2009.01.18 -

eSafe 7.0.17.0 2009.01.15 -

eTrust-Vet 31.6.6312 2009.01.17 -

F-Prot 4.4.4.56 2009.01.17 -

F-Secure 8.0.14470.0 2009.01.18 -

Fortinet 3.117.0.0 2009.01.15 -

GData 19 2009.01.18 -

Ikarus T3.1.1.45.0 2009.01.18 -

K7AntiVirus 7.10.594 2009.01.17 -

Kaspersky 7.0.0.125 2009.01.18 -

McAfee 5498 2009.01.17 -

McAfee+Artemis 5498 2009.01.17 -

Microsoft 1.4205 2009.01.17 -

NOD32 3774 2009.01.17 -

Norman 5.93.01 2009.01.16 -

nProtect 2009.1.8.0 2009.01.16 -

Panda 9.5.1.2 2009.01.17 -

PCTools 4.4.2.0 2009.01.17 -

Prevx1 V2 2009.01.18 -

Rising 21.12.60.00 2009.01.18 -

SecureWeb-Gateway 6.7.6 2009.01.17 -

Sophos 4.37.0 2009.01.18 -

Sunbelt 3.2.1835.2 2009.01.16 -

Symantec 10 2009.01.18 -

TheHacker 6.3.1.5.222 2009.01.17 -

TrendMicro 8.700.0.1004 2009.01.16 -

VBA32 3.12.8.10 2009.01.17 -

ViRobot 2009.1.17.1563 2009.01.17 -

VirusBuster 4.5.11.0 2009.01.17 -

Information additionnelle

File size: 21504 bytes

MD5...: 3794b461c45882e06856f282eef025af

SHA1..: bf15549a7ec01ac505ccac036aba5b9bae688135

SHA256: d4f79d7bc639fe86ac68961e6273836b9d7af491773fd054395b33d317017beb

SHA512: 55bab3ea02476ea8d9b463f4d8cf2d2a06f871acd029699e6e5e89fbf5164dd3

e192e072637b66cd6fff5e04671003ec418ce2778249780f8e4b303e925252a7

ssdeep: 384:ZqBHgWPkbXKxUVkOsKVG3GI0yej4dT+VI2GEvmW9ZrbWxOHZ+:ZqBLO6xUVk

Os8G3HGj4OISPw

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x1002083

timedatestamp.....: 0x47918b89 (Sat Jan 19 05:32:57 2008)

machinetype.......: 0x14c (I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x3a24 0x3c00 6.21 5037917ca875679df4e24d44d02f02b4

.data 0x5000 0x5ec 0x600 0.83 9203e7f188b0ecb11266e90e9a442853

.rsrc 0x6000 0x818 0xa00 3.75 013fd325d2363ecadecd660d847876e8

.reloc 0x7000 0x400 0x400 6.61 296b23856e7f7105159e55c33338cd9b

 

( 5 imports )

> KERNEL32.dll: HeapSetInformation, ExpandEnvironmentStringsW, CreateActCtxW, ReleaseActCtx, LCMapStringW, lstrlenW, DelayLoadFailureHook, InterlockedExchange, RegisterWaitForSingleObject, SetUnhandledExceptionFilter, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetCommandLineW, ExitProcess, SetProcessAffinityUpdateMode, InitializeCriticalSection, GetProcessHeap, SetErrorMode, HeapAlloc, HeapFree, WideCharToMultiByte, LocalFree, CloseHandle, LocalAlloc, LoadLibraryA, InterlockedCompareExchange, FreeLibrary, Sleep, GetProcAddress, DeactivateActCtx, LoadLibraryExW, GetLastError, ActivateActCtx, LeaveCriticalSection, lstrcmpW, EnterCriticalSection, lstrcmpiW

> msvcrt.dll: __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, exit, __p__fmode, _exit, memcpy, memset, __set_app_type, _terminate@@YAXXZ, _except_handler4_common, _controlfp, _cexit, __wgetmainargs, _XcptFilter

> ADVAPI32.dll: GetTokenInformation, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetEntriesInAclW, SetSecurityDescriptorDacl, StartServiceCtrlDispatcherW, RegDisablePredefinedCacheEx, EventRegister, EventEnabled, EventWrite, RegQueryValueExW, RegOpenKeyExW, RegCloseKey, RegisterServiceCtrlHandlerW, SetServiceStatus, OpenProcessToken

> ntdll.dll: RtlSubAuthoritySid, RtlFreeHeap, RtlCopySid, RtlSubAuthorityCountSid, RtlLengthRequiredSid, RtlAllocateHeap, RtlInitializeSid, RtlImageNtHeader, RtlSetProcessIsCritical, RtlUnhandledExceptionFilter, RtlInitializeCriticalSection

> RPCRT4.dll: RpcServerListen, RpcServerUnregisterIf, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcMgmtStopServerListening, RpcServerUnregisterIfEx, RpcServerRegisterIf, RpcServerUseProtseqEpW, I_RpcMapWin32Status

 

( 0 exports )

[oGu]

C'est bien un faux-positif: NOD32 "bippe"-t-il encore dessus?